安全脆弱性分析.ppt

安全脆弱性分析,本章先分析安全威胁的基本原理和类型，然后介绍目前用于安全脆弱性分析的主要技术，即安全扫描技术。,信息系统不安全的主要原因是系统自身存在安全脆弱点，因此信息系统安全脆弱性分析是评估信息系统安全强度和设计安全体系的基础。,认识黑客Hacker,Hacker起源Hack:(1)cut roughly or clumsily,chop(砍辟)(2)horse may be hired(3)person paid to do hard 引伸义干了一件漂亮的事Hacker:(1)a computer buff(黑客)(2)One who illegally gains access to or enters anothers electronic system to obtain secret information or steal moneyCracker:One who makes unauthorized use of a（骇客）computer,especially to tamper with data or programs.,黑客守则,1)不恶意破坏系统2)不修改系统文档3)不在bbs上谈论入侵事项4)不把要侵入的站点告诉不信任的朋友5)在post文章时不用真名6)入侵时不随意离开用户主机7)不入侵政府机关系统8)不在电话中谈入侵事项9)将笔记保管好10)要成功就要实践11)不删除或涂改已入侵主机的帐号12)不与朋友分享已破解的帐号,一、入侵行为分析 界定是否受到了黑客的入侵和攻击：狭义的定义：攻击仅仅发生在入侵行为完 成且入侵者已经在其目标网络中。广义的定义：使网络受到入侵和破坏的所 有行为都应被为“攻击”。本书采纳广义的定义，即认为当入侵者试图在目标机上“工作”的那个时刻起，攻击就已经发生了。,下面将从几个方面分析系统中发生的各种入侵行为，包括入侵者的目的、实施入侵的人员、入侵过程中的各个阶段和每个阶段不同的特点。入侵者的目的各不相同。善意的入侵者只是想探索互联网，看看未知的部分是什么。而恶意的入侵者可能读取特权数据、进行非授权修改或者破坏系统。但很难分清入侵者的行为是善意的还是恶意的，然而分析黑客的目的还是有助于我们了解入侵者的行为，特别是有助于了解系统的哪些部分最容易受到攻击。,大体说来入侵者在入侵一个系统者时会想达到以下目的中的一种或几种：（1）执行进程：攻击者在成功入侵目标主机后，或许仅仅是为了运行一些程序，而且这些程序除了消耗了系统资源外，对目标机器本身是无害的。举例来说，一些扫描程序只能在UNIX 系统中运行，这时候，攻击者就可能入侵一台UNIX系统的工作站。尽管这种情况对目标主机本身并无多大坏处，但是潜在的危害是不能被忽视的，抛开消耗的资源不说，这种行为可能将责任转移到目标主机，后果是难以估计的。,（2）获取文件和数据：入侵者的目标是系统中的重要数据。入侵者可以通过登录目标主机，使用网络监听程序进行攻击。监听到的信息可能含有重要的信息，如关于用户口令的信息等。（3）获取超级用户权限：在多用户的系统中，超级用户可以做任何事情，因此获取超级拥护权限这是每一个入侵者都梦寐以求的。（4）进行非授权操作：很多用户都有意无意的去尝试尽量获得超出许可的一些权限，如他们会寻找管理员设置中的一些漏洞，或者寻找一些工具来突破系统的防线。,（5）使系统拒绝服务：这种攻击将使目标系统中断或者完全拒绝对合法用户、网络、系统或其他资源的服务。任何这种攻击的意图通常都是邪恶的，然而这种攻击往往不需要复杂技巧，只需借助很容易找到的工具。（6）篡改信息：包括对重要文件的修改、更换、删除等。不真实或者错误的信息往往会给用户造成巨大的损失。（7）批露信息：入侵者将目标站点的重要信息与数 据发往公开的站点造成了信息扩散，由于那些 公开的站点往往会有许多人访问，其他用户就可能得到这些信息，并将其再次扩散出去。,入侵者的三种类型伪装者：未经授权使用计算机者或绕开系统访问控制机制获得合法用户账户权限者，都称为伪装者。违法者：未经授权访问数据、程序或资源的合法用户，或者具有访问授权但错误使用其权利的人，称为违法者。秘密用户：拥有账户管理权限者，利用这种控制来逃避审计和访问数据，或者禁止收集审计数据，我们称其为秘密用户。伪装者很可能是外部人员；违法者一般是内部人员；秘密用户可能是外部人员、内部人员。,网络攻击三部曲:踩点-扫描-攻击踩点(信息收集)SNMP协议：简单网络管理协议(Simple Network Management Protocol SNMP)。一种从网络上的设备中收集网络管理信息的方法。TraceRoute程序：可以使用这一工具了解服务商目前的网络连接情况。Whois协议：是用来查询域名的IP以及所有者等信息的传输协议。DNS服务器：自动把域名地址转为IP地址。Finger协议：UNIX 查询用户情况的实用程序。Ping实用程序：测试程序,踩点需要得到的信息至少有以下几种：（1）通过尽可能多地收集关于一个系统的安全态势的各个方面的信息，从而构造出关于该目标机构的因特网、远程访问及内联网/外联网之间的结构。（2）通过使用ping 扫描、端口扫描以及操作系统检测等工具和技巧，进一步掌握关于目标环境所依赖的平台、服务等相关信息。（3）从系统中抽取有效账号或者导出资源名，这时会涉及到往目标系统的主动连接和定向查询。,扫描漏洞侦测使用自制工具使用专用工具SATAN等Administrator Tool for Analyzing Networks 网路安全管理工具攻击建立帐户安装远程控制器发现信任关系全面攻击获取特权,二、安全威胁分析计算机系统所面临的各种安全威胁，包括安全威胁的来源、分类和特点等。威胁来源 计算机系统面临的安全威胁有计算机系统的外部的，也有计算机系统内部的。计算机系统外部威胁主要有以下几类：,系统外部威胁来源 1）自然灾害、意外事故；2）计算机病毒；3）人为行为，如使用不当，安全意识差等；4）“黑客”行为：由于黑客的入侵或侵扰，比如非法访问、拒绝服务、非法连接等；5）内部泄密；6）外部泄密；7）信息丢失；8）电子谍报，比如信息流量分析、信息窃取等；9）信息战。,计算机系统内部存在安全威胁的原因：1）操作系统本身所存在的一些缺陷；2）数据库管理系统安全的脆弱性；3）管理员缺少安全方面的知识，缺少安全管理 的技术规范，缺少定期安全测试与检查；4）网络协议中的缺陷，例如TCP/IP协议的安全问题；5）应用系统缺陷等等。,攻击分类 攻击的分类方法是多种多样的。这里根据入侵者使用的手段和方式，将攻击分为口令攻击、拒绝服务攻击、利用型攻击、信息收集攻击以及假消息攻击这几大类。（1）口令攻击 抵抗入侵者的第一道防线是口令系统。几乎所有的多用户系统都要求用户不但提供一个名字或标识符(ID)，而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中，入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令，从而进入系统。入侵者登录后，便可以查找系统的其他安全漏洞，从而得到进一步的特权。,为了避免入侵者轻易的猜测出口令，用户应该避免使用不安全的口令。不安全的口令类型有:用户名或用户名的变形；电话号码、执照号码等；一些常见的单词；生日；长度小于5的口令；空口令或默认口令；上述词后加上数字。,（2）拒绝服务攻击(DOS)目标系统的安全措施往往会让初级技能的攻击者束手无策。受到挫折后，攻击者往往用DOS(Denial of Services)发动攻击。这种攻击使得目标系统无法提供正常的服务，从而可能给目标系统带来重大的损失。值得引起我们关注的是，现实情况中破坏一个网络或系统的运行往往比真正取得他们的访问权容易的多。,四种常见的DOS攻击类型及原理 a）带宽耗用（bandwidth-consumption）：其本质是攻击者消耗掉通达某个网络的所有可用带宽。一种情况是攻击者有比受害者网络的带宽更大的可用带宽，从而可以造成受害者的网络拥塞。另一种情况是攻击者通过征用多个站点集中拥塞受害者的网络连接来放大DOS攻击效果。又称为分布式拒绝服务攻击(DDOS:Distributed Denial of Services),DDOS Distributed Denial of Services很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击.DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？,图1 DDOS攻击汇总示意图,Internet中用于邮件收发的后台程序,b）资源衰竭（resource-starvation）：这类攻击不同于带宽耗用攻击的地方在于前者集中于系统资源而不是网络资源的消耗。一般地说，它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。攻击者往往拥有一定数量系统资源的合法访问权限。然而他们滥用这种访问权消耗额外的资源，这么一来，合法用户被剥夺了原来享有的资源份额。c）编程缺陷（programming flaw）：是应用程序、操作系统或嵌入式CPU在处理异常条件上的失败。这些异常条件往往是用户发送不期望的数据造成的。,d）路由和DNS攻击：基于路由的DOS攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。攻击者这时往往通过假冒源IP地址就能达到目的。这种攻击的后果是去往受害者网络的数据包或者经由攻击者的网络路由，或者被路由到不存在的网络地址。基于域名系统（DNS）的攻击往往将受害者域名服务器高速缓存中的信息修改成虚假的地址信息。这样当合法用户请求某台DNS服务器执行查找请求攻击者就达到了把服务请求重定向到自己指定的站点的目的。,（3）利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式：特洛伊木马和缓冲区溢出攻击。a）特洛伊木马:表面看是有用的软件工具，而实际上却在启动后暗中安装破坏性的软件。许多远程控制后门往往伪装成无害的工具或文件，使得轻信的用户不知不觉的安装他们。b）缓冲区溢出攻击（Buffer Overflow）：通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行一段恶意代码，以达到攻击的目的。,（4）信息收集型攻击 消息收集型攻击并不直接对目标系统本身造成危害。这类攻击为进一步的入侵提供必须的信息。这些攻击手段大部分在黑客入侵三步曲中的第一步窥探设施时使用。扫描技术就是常用消息收集型攻击方法。,扫描技术大致可以分为ping扫描、端口扫描以及操作系统检测这三类工具和技巧。通过使用ping 扫描工具，入侵者可以标示出存活的系统，从而指出潜在的目标。通过使用各种端口扫描工具，入侵者可以进而标示出正在监听着的潜在服务，并将目标系统的暴露程度做出一些假设。使用操作系统检测软件可以相当准确的确定目标系统的特定操作系统。从而为以后的攻击系统的活动提供重要的信息。,（5）假消息攻击 攻击者用配置不正确的消息来欺骗目标系统，以达到攻击的目的被称为假消息攻击。常见的假消息攻击形式有电子邮件欺骗、IP欺骗、Web欺骗及DNS欺骗等：,a）电子邮件欺骗：常见的通过电子邮件的攻击方法有：隐藏发信人的身份，发送匿名或垃圾信件；使用用户熟悉的人的电子邮件地址骗取用户的信任；通过电子邮件执行恶意的代码。b）IP欺骗：IP欺骗的主要动机是隐藏自己的 IP地址，防止被跟踪。有些网络协议仅仅以IP地址作为认证手段，此时伪造IP就可以轻易的骗取系统的信任。对于设置了防火墙的目标系统，将自己的IP伪装成该系统的内部IP有可能使得攻击者冲破目标系统的防火墙。,c）WEB欺骗：由于Internet的开放性，任何用户都可以建立自己的WEB站点，同时并不是每个用户都了解WEB的运行规则。这就使得攻击者的WEB欺骗成为可能。常见的 WEB 欺骗的形式有：使用相似的域名、改写URL、WEB会话劫持等。d）DNS欺骗：修改上一级DNS服务记录，重定向DNS请求，使受害者获得不正确的IP地址。,三、安全扫描技术 安全扫描技术指手工地或使用特定的软件工具安全扫描器，对系统脆弱点进行评估，寻找可能对系统造成损害的安全漏洞。扫描主要分为系统扫描和网络扫描两个方面，系统扫描侧重主机系统的平台安全性以及基于此平台的应用系统的安全，而网络扫描侧重于系统提供的网络应用和服务及相关的协议分析。,扫描的主要目的是通过一定的手段和方法发现系统或网络潜在的隐患，以利于己方及时修补或发动对敌方系统的攻击。同时，自动化的安全扫描器要对目标系统进行漏洞检测和分析，提供详细的漏洞描述，并针对安全漏洞提出修复建议和安全策略，生成完整的安全性分析报告。为网络管理员完善系统提供重要依据。,有两种主要类型的安全扫描器：（1）本地扫描器或系统扫描器：扫描器和待检查系统运行于同一结点，执行自身检查。（2）远程扫描器或网络扫描器：扫描器和待检查系统运行于不同结点，通过网络远程探测目标结点，寻找安全漏洞。,安全扫描的必要性 网络系统的安全漏洞也就是它防护最弱的部分，不管系统其它部分如何强壮，一旦此漏洞被利用，就会给网络带来灾难。如何找到这些漏洞并加以保护，是系统管理所必须保证做到的任务。如果能够模拟攻击者的行为，扫描系统的安全漏洞，并加以保护和改进，攻击者的可乘之机就会越来越少。安全扫描器需要对目标系统进行全面的检查，以发现可能的安全漏洞。但两大类安全扫描器在检查项目方面又各有侧重点。,本地扫描器(Local Scanner)分析文件的内容，查找可能存在的配置问题。由于本地扫描器实际上是运行于目标结点上的进程，具有以下几个特点：（1）可以在系统上任意创建进程。为了运行某些程序，检测缓冲区溢出攻击，要求扫描器必须做到这一点。（2）可以检查到安全补丁一级，以确保系统安装了最新的安全解决补丁。（3）可以通过在本地查看系统配置文件，检查系统 的配置错误。而除非能够攻入系统，远程扫描器无法达到上述要求，所以本地扫描器可以查出许多远程扫描器检查不出来的问题。,远程扫描器(Remote Scanner)检查网络和分布式系统的安全漏洞。与本地服务器通过运行程序、查看文件来检查安全漏洞不同的是，远程扫描器通过执行一整套综合的穿透测试（Penetration Testing）程序集，发送经精心构造的数据包来检测目标系统。被测系统和扫描器可以是同一类型的操作系统，也可以是不同类型的。本地扫描和远程扫描二者相辅相成，在系统环境中对二者加以综合利用非常有必要。有时，它们会以不同的方式检测出同一问题，这一特征对实现多种层次的安全性是很有用的。,安全扫描技术分析 扫描器的工作过程通常包括三个阶段：发现目标主机或网络;进一步发现目标系统类型及配置等信息;测试哪些服务具有安全漏洞;系统管理员使用扫描器来发现系统存在的问题，而攻击者使用它则可以破坏被攻击对象的安全。二者都关心如何发现目标主机或网络中存在的安全漏洞。由于未经同意的网络扫描行为往往意味着网络攻击的开始，所以攻击者还需要考虑如何避免扫描动作被发现。,（一）端口扫描技术 端口扫描技术可分为全开扫描(open scanning)、半开扫描(half-open scanning)、秘密扫描(stealth scanning)、区段扫描(sweeps scanning)等。这些技术都可用于查找服务器上打开和关闭的端口，从而发现该服务器上对外开放的服务。但并不是每一种技术都可以保证能得到正确结果的，它能否成功还依赖于远程目标的网络拓扑结构、IDS(入侵检测系统)、日志机制等配置。,图2 常见端口扫描技术及其分类,全开扫描(open scan,TCP connect)全开扫描技术通过直接同目标主机通过一次完整的三次TCP/IP握手过程，建立标准TCP连接来检查目标主机的相应端口是否打开。,Client SYNServer SYN/ACKClient ACK Server端口打开,Client SYNServer RST/ACKClient RST Server端口没有打开,全开扫描的优点是快速、精确、不需要特殊用户权的限。缺点是不能进行地址欺骗并且非常容易被检测到。,SYN扫描 SYN 扫描是半开扫描方法的一种，它的工作流程同完整的三次握手类似，只是在第三步时不是发送ACK包，而代之以RST包要求中止连接。对于打开的端口，SYN 扫描流程如下所示：,Client SYNServer SYN/ACKClient RST 端口开,对关闭的端口，流程同全开扫描相同，只是这时不需要发送第三个包了：,Client SYNServer RST/ACK 关闭端口,由于半开扫描方式在外在表现上同 SYN flood 拒绝服务攻击方法类似，现在很多IDS都可以轻易地检测到这种扫描方法。半开扫描的优点是快速、可绕开基本的IDS、避免了TCP 三次握手。缺点是需要超级用户权限，IDS系统可能阻止大量的SYN扫描，从而造成误报。,SYN|ACK扫描 SYN|ACK 扫描技术省掉了 TCP 三次握手的第一步，Client直接发送SYN|ACK包到server端，根据server的应答client可以猜测server的端口是否打开。,但考虑到收不到应答的原因还可能是超时、发出包被状态检测防火墙过滤掉等原因，这个信息不如TCP connect扫描可靠。SYN|ACK扫描的优点是快速、可绕开基本的IDS、避免了TCP三次握手。缺点是需要超级用户权限、不可靠。,Client SYN/ACK Server RST,端口扫描分析比较表（1）,端口扫描分析比较表（2）,端口扫描分析比较表（3）,(二)系统类型检测技术 由于许多安全漏洞是同操作系统紧密相关的，因此，检测系统类型对于攻击者具有很重要的作用。攻击者可以先扫描一段网络地址空间，搜集主机类型以及这些主机打开/关闭的端口信息，然后先暂时把这些数据放在一边。当某一系统的新漏洞被发现后，攻击者就可以在已经搜集到的情报中寻找相匹配的系统，从而实施攻击。有三种主要的手段可以用于检测系统类型，即利用系统旗标(Banner Grabbing)、利用DNS信息及利用TCP/IP堆栈指纹。,利用系统旗标:很多时候，利用系统服务给出的信息，立刻就可以知道该系统的信息。这些服务包括TELNET、FTP、WWW、Mail等。最简单的检测方法就是直接登陆到该系统提供的服务，检查系统给出的内容。利用DNS信息 主机信息有时还可能通过DNS记录泄露出去。如：www IN HINFO Sparc Ultra 5 Solaris 2.6 solaris 不过由于很少再有管理员配置HINFO记录了，这种技术相对说来并不是很有效。,利用TCP/IP堆栈指纹 TCP/IP堆栈批纹指的是操作系统在实现TCP/IP协议时的一些特有的实现特征。由于管理员可能会隐藏应用系统所报的信息，也可能会伪造信息来愚弄攻击者，利用系统旗标的方法并不是很可靠。而利用 TCP/IP 堆栈作为特殊的“指纹”来确定系统的真正身份的准确性相当高，因为管理员不太可能去修改系统底层的网络的堆栈参数。,四、安全扫描系统的选择与注意事项,升级问题 可扩充性 全面的解决方案 人员培训,也许有些计算机安全管理人员开始考虑购买一套安全扫描系统，那么，购买此类产品需要考虑哪些方面呢?,升级问题,由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因，网络软件漏洞层出不穷，这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此，在选择产品时，首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握，同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应,可扩充性,对具有比较深厚的网络知识，并且希望自己扩充产品功能的用户来说，应用了功能模块或插件技术的产品应该是首选。,全面的解决方案,前面已经指出，网络安全管理需要多种安全产品来实现，仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统，要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。,人员培训,前面已经分析过，网络安全中人是薄弱的一环，许多安全因素是与网络用户密切相关的，提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此，在选择安全扫描产品时，要考虑制造商有无能力提供安全技术培训。,1 典型的攻击过程分为几个步骤各步骤主要完成什么工作?,