(信息安全技术)第5-2讲漏洞检测技术.ppt

计算机网络技术 信息安全技术 第 5 讲 安全检测技术 5.1 入侵检测技术与网络入侵检测系统产品 5.2 漏洞检测技术和微软系统漏洞检测工具MBSA 第 5 讲 安全检测技术 5.2 漏洞检测技术和微软系统漏洞检测工具MBSA 第 5 讲 安全检测技术 就网络信息系统的安全而言，仅有事后追查或实时报警功能是不够的，还需要具备系统安全漏洞检测能力的事先检查型安全工具。 系统漏洞检测又称漏洞扫描，就是对网络信息系统进行检查，主动发现其中可被攻击者利用的漏洞。不管攻击者是从外部还是从内部攻击某一网络系统，一般都会利用该系统已知的漏洞。因此，漏洞扫描技术应该用在攻击者入侵和攻击网络系统之前。 第 5 讲 安全检测技术 1. 入侵攻击可利用的系统漏洞类型 入侵者常常从收集、发现和利用信息系统的漏洞来发起对系统的攻击。不同的应用，甚至同一系统不同的版本，其系统漏洞都不尽相同，大致上可以分为3类 网络传输和协议的漏洞 系统的漏洞 管理的漏洞 第 5 讲 安全检测技术 (1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信任以及网络传输过程本身所存在的漏洞进入系统，例如，IP欺骗和信息腐蚀就是利用网络传输时对IP和DNS协议的信任；而网络嗅探器则利用了网络信息明文传送的弱点。 第 5 讲 安全检测技术 另外，攻击者还可利用协议的特性进行攻击，例如，对TCP序列号的攻击等。攻击者还可以设法避开认证过程，或通过假冒 (如源地址) 而混过认证过程。例如，有的认证功能是通过主机地址来做认证的，一个用户通过认证，则这个机器上的所有用户就都通过了认证。此外，DNS、WHOIS、FINGER等服务也会泄露出许多对攻击者有用的信息，例如，用户地址、电话号码等。 第 5 讲 安全检测技术 (2) 系统的漏洞 攻击者可以利用服务进程的BUG和配置错误进行攻击，任何提供服务的主机都有可能存在这样的漏洞，它们常被攻击者用来获取对系统的访问权。由于软件的BUG不可避免，这就为攻击者提供了各种机会。另外，软件实现者为自己留下的后门 (和陷门) ，也为攻击者提供了机会。 第 5 讲 安全检测技术 系统内部的程序也存在许多BUG，因此，存在着入侵者利用程序中的BUG来获取特权用户权限的可能。 窃取系统中的口令是最简单和直截了当的攻击方法，因而对系统口令文件的保护方式也在不断的改进。口令文件从明文 (隐藏口令文件) 改进成密文，又改进成使用阴影 (Shadow) 的方式。 第 5 讲 安全检测技术 攻击者窃取口令的方法可以是： 窃取口令文件并做字典攻击。 从信道截获并做进一步分析。 利用特洛伊木马窃取。 采用其他方式进行窃取。 第 5 讲 安全检测技术 (3) 管理的漏洞 攻击者可以利用各种方式从系统管理员和用户那里诱骗或套取可用于非法进入系统的信息，包括口令、用户名等。 第 5 讲 安全检测技术 通过对入侵攻击过程进行分析，可以将系统的安全漏洞划分为以下5类： 可使远程攻击者获得系统一般访问权限。 可使远程攻击者获得系统管理权限。 远程攻击者可使系统拒绝合法用户的服务请求。 可使一般用户获得系统管理权限。 一般用户可使系统拒绝其他合法用户的服务请求。 第 5 讲 安全检测技术 根据安全漏洞所在程序的类型，以上5类安全漏洞又可以划分为两类： 前3种安全漏洞主要存在于系统的网络服务程序中，包括TELNET，FTP等用户服务，也包括HTTP，Sendmail等共用网络服务； 后两种安全漏洞主要存在于一些系统服务程序及其配置文件中，尤其是以Root身份运行的服务程序。 第 5 讲 安全检测技术 从系统本身的层次结构看，系统的安全漏洞可以分为以下4类： 安全机制本身存在的安全漏洞。 系统服务协议中存在的安全漏洞，按层次可细分为物理层、数据链路层、IP与ICMP层、TCP层、应用服务层。 系统、服务管理与配置的安全漏洞。 安全算法、系统协议与服务实现中存在的安全问题等 第 5 讲 安全检测技术 针对攻击者利用网络各个层次上的安全漏洞破坏网络的安全性，系统安全必须进行全方位多层次的安全防卫，才能使系统安全的风险最小。 第 5 讲 安全检测技术 2. 漏洞检测技术分类 通常采用两种策略，即被动式和主动式策略。 被动式策略是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全策略相抵触的对象进行检查； 主动式策略是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录它的反应，从而发现其中的漏洞。漏洞检测的结果实际上是对系统安全性能的一个评估，因此成为安全方案的一个重要组成部分。 第 5 讲 安全检测技术 根据所采用的技术特点，漏洞检测技术可分为以下5类： 1) 基于应用的检测技术。采用被动、非破坏性的办法来检查应用软件包的