第七章 网络安全检测与评估技术 第7章 网络安全检测与评估技术 内容提要：网络安全漏洞 网络安全漏洞检测技术网络安全评估标准网络安全评估方法网络安全检测评估系统简介小结第七章 网络安全检测与评估技术 7.1 网络安全漏洞 1. 网络安全漏洞威胁（1）安全漏洞的定义漏洞是在硬件、软件、协议的具体实现或 系统安全策略上存在的缺陷，可以使攻击者在 未授权的情况下访问或破坏系统。漏洞的产生有其必然性，这是因为软件的 正确性通常是通过检测来保障的。而“检测只 能发现错误，证明错误的存在，不能证明错误 的不存在”。返回本章首页第七章 网络安全检测与评估技术 （2）安全威胁的定义安全威胁是指所有能够对计算机网络信息 系统的网络服务和网络信息的机密性、可用性 和完整性产生阻碍、破坏或中断的各种因素。 安全威胁可以分为人为安全威胁和非人为安全 威胁两大类。安全威胁与安全漏洞密切相关， 安全漏洞的可度量性使得人们对系统安全的潜 在影响有了更加直观的认识。 返回本章首页第七章 网络安全检测与评估技术 可以按照风险等级对安全漏洞进行归类，表 7-1，7-2，7-3对漏洞分类方法进行了描述 。 返回本章首页表7-1 漏洞威胁胁等级级分类类严 重 度等级影响度 低严重度: 漏洞难以 利用，并且潜在的损 失较少。1低影响度: 漏洞的影响较低，不会产生连 带的其他安全漏洞。中等严重度: 漏洞难 以利用，但是潜在的 损失较大，或者漏洞 易于利用，但是潜在 的损失较少。2中等影响度: 漏洞可能影响系统的一个或 多个模块，该漏洞的利用可能会导致其他 漏洞可利用。高严重度: 漏洞易于 利用，并且潜在的损 失较大。3高影响度: 漏洞影响系统的大部分模块， 并且该漏洞的利用显著增加其他漏洞的可 利用性。 第七章 网络安全检测与评估技术 返回本章首页表7-2 漏洞威胁综胁综 合等级级分类类严重 等级影响等级1231123 2234 3345第七章 网络安全检测与评估技术 表7-3 漏洞威胁等级分类描述等级描 述1低影响度，低严重度 2低影响度，中等严重度；中等影响度，低严重度 3低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度 4中等影响度，高严重度；高影响度，中等严重度 5高影响度，高严重度第七章 网络安全检测与评估技术 2. 网络安全漏洞的分类方法 按漏洞可能对系统造成的直接威胁分类 按漏洞的成因分类返回本章首页第七章 网络安全检测与评估技术 （1）按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为：远程管理员权限；本地管理员权限；普通 用户访问权限；权限提升；读取受限文件；远 程拒绝服务；本地拒绝服务；远程非授权文件 存取；口令恢复；欺骗；服务器信息泄露；其 它漏洞。返回本章首页第七章 网络安全检测与评估技术 （2）按漏洞的成因分类 可以分为：输入验证错误类；访问验证错误类；竞争条 件类；意外情况处置错误类；设计错误类；配 置错误类；环境错误类。返回本章首页第七章 网络安全检测与评估技术 7.2 网络安全漏洞检测技术 网络安全漏洞检测主要包括端口扫描、操 作系统探测和安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些 端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类 型信息；通过安全漏洞探测可以发现系统中可能存 在的安全漏洞。返回本章首页第七章 网络安全检测与评估技术 1. 端口扫描技术端口扫描的原理是向目标主机的TCP/IP 端口发送探测数据包，并记录目标主机的响应 。通过分析响应来判断端口是打开还是关闭等 状态信息。端口扫描技术分为：uTCP端口扫描技术uUDP端口扫描技术返回本章首页第七章 网络安全检测与评估技术 （1）TCP端口扫描技术TCP端口扫描技术主要有全连接扫描技术 、半连接（SYN）扫描技术、间接扫描技术和 秘密扫描技术等。u全连接扫描技术全连接扫描的工作方式是：对目标主机上感兴 趣的端口进行connect()连接试探，如果该端 口被监听，则连接成功，否则表示该端口未开 放或无法到达。返回本章首页第七章 网络安全检测与评估技术 全连接扫描的最大优点是用户无须特殊权限， 且探测结果最为准确。缺点是很容易被目标主 机察觉并记录下来。u半连接（SYN）端口扫描技术半连接端口扫描不建立完整的TCP连接，而是 只发送一个SYN信息包，就如同正在打开一个 真正的TCP连接，并等待对方的回应一样。返回本章首页第七章 网络安全检测与评估技术 半连接扫描的优点在于即使日志中对扫描有所 记录，但是尝试进行连接的记录也要比全连接 扫描要少得多。缺点是在大部分操作系统下，发送主机需要构 造适用于这种扫描的IP包，通常情况下，构造 SYN数据包需要超级用户或者授权用户访问专 门的系统调用。返回本章首页第七章 网络安全检测与评估技术 （2）UDP端口扫描技术UDP端口扫描主要用来确定在目标主机上 有哪些UDP端口是开放的。其实现思想是发送 零字节的UDP信息包到目标机器的各个端口， 若收到一个ICMP端口不可达的回应，则表示 该UDP端口是关闭的，否则该端口就是开放的 。返回本章首页第七章 网络安全检测与评估技术 2. 操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类 型和版本相联系的，因此操作系统的类型信息 是网络安全检测的一个重要内容。操作系统探测技术主要包括：u获取标识信息探测技术u基于TCP/IP协议栈的指纹探测技术u基于ICMP响应分析探测技术返回本章首页第七章 网络安全检测与评估技术 （1）获取标识信息探测技术获取标识信息探测技术主要是指借助操作 系统本身提供的命令和程序进行操作系统类型 探测的技术。通常，可以利用telnet这个简单命令得到 主机操作系统的类型。返回本章首页第七章 网络安全检测与评估技术 （2）基于TCP/IP协议栈的指纹探测技术指纹探测实现依据是不同类型、不同版本 的操作系统在协议栈实现上存在细微差别。操作系统指纹探测步骤为：u形成一个全面的操作系统指纹特征库；u向目标发送多种特意构造的信息包，检测其 是否响应这些信息包以及其响应方式；u把从目标返回的特征信息与指纹特征库进行 匹配，判断目标机器的操作系统类型等信息。返回本章首页第七章 网络安全检测与评估技术 （3）基于ICMP响应分析探测技术ICMP响应分析探测技术是一种较新的操 作系统探测技术。该技术通过发送UDP或 ICMP的请求报文，然后分析各种ICMP应答信 息来判断操作系统的类型及其版本信息。本质也是一种基于TCP/IP协议栈的操作 系统指纹探测技术。返回本章首页第七章 网络安全检测与评估技术 3. 安全漏洞探测技术安全漏洞探测是采用各种方法对目标可能 存在的已知安全漏洞进行逐项检查。按照网络安全漏洞的可利用方式来划分， 漏洞探测技术可以分为：信息型漏洞探测和攻 击型漏洞探测两种。按照漏洞探测的技术特征，可以划分为：基 于应用的探测技术、基于主机的探测技术、基 于目标的探测技术和基于网络的探测技术等。返回本章首页第七章 网络安全检测与评估技术 （1）信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的 型号、运行的操作系统版本及补丁安装情况、 配置情况、运行服务及其服务程序版本等信息 确定目标存在的安全漏洞的探测技术。该技术具有实现方便、对目标不产生破坏 性影响的特点。其不足之处是对于具体某个漏 洞存在与否，难以做出确定性的结论。 返回本章首页第七章 网络安全检测与评估技术 为提高信息型漏洞探测技术的准确率和效 率，许多改进措施也不断地被引入: 顺序扫描技术 多重服务检测技术返回本章首页第七章 网络安全检测与评估技术 （2）攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术，其探 测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的 一般过程，对目标系统进行无恶意攻击尝试， 若攻击成功则表明相应安全漏洞必然存在。返回本章首页第七章 网络安全检测与评估技术 （3）漏洞探测技术按其技术特征可分为： 基于应用的检测技术 基于主机的检测技术 基于目标的漏洞检测技术 基于网络的检测技术返回本章首页第七章 网络安全检测与评估技术 网络扫描 黑客攻击最重要环节：扫描， 一般分成两种策略: 一种是主动式策略 另一种是被动式策略。第七章 网络安全检测与评估技术 扫描方式主动式扫描一般可以分成： 1、活动主机探测；2、ICMP查询；3、网络PING扫描；4 、端口扫描；5、标识UDP和TCP服务；6、指定漏洞扫描； 7、综合扫描。扫描方式可以分成两大类： 慢速扫描和乱序扫描。 1、慢速扫描：对非连续端口进行扫描，并且源地址不一 致、时间间隔长没有规律的扫描。 2、乱序扫描：对连续的端口进行扫描，源地址一致，时 间间隔短的扫描。第七章 网络安全检测与评估技术 案例4-1 系统用户扫描可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系 统上使用，主要功能包括： （1）扫描出NT主机上存在的用户名。 （2）自动猜测空密码和与用户名相同的密码。 （3）可以使用指定密码字典猜测密码。 （4）可以使用指定字符来穷举猜测密码。第七章 网络安全检测与评估技术 扫描对IP为172.18.25.109的计算机进行扫描，首先将该计算机添加到扫 描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机 的IP地址，如图4-3所示。可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表如图4-4所示。第七章 网络安全检测与评估技术 密码破解利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置 完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试 ，如果用户的密码在密码字典中就可以得到该密码。一个典型的密码字典如图4-5所示。第七章 网络安全检测与评估技术 设置密码字典选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文 本文件，如图4-6所示。第七章 网络安全检测与评估技术 进行系统破解利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜 单项“字典测试”，程序将按照字典的设置进行逐一的匹配， 如图4-7所示。第七章 网络安全检测与评估技术 案例4-2 开放端口扫描 得到对方开放了哪些端口也是扫描的重要一步。使用工具软件 PortScan可以到得到对方计算机都开放了哪些端口，主界面如图4-8所示。 第七章 网络安全检测与评估技术 端口扫描对172.18.25.109的计算机进行端口扫描，在Scan文本框中输入IP 地址，点击按钮“START”，开始扫描如图4-9所示。第七章 网络安全检测与评估技术 案例4-3 共享目录扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目 录共享。工具软件的主界面如图4-10所示。第七章 网络安全检测与评估技术 扫描一个IP地址段该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为 172.18.25.109的目录共享情况。在起始IP框和终止IP框中都 输入172.18.25.109，点击按钮“开始”就可以得到对方的共享目 录了，如图4-11所示。第七章 网络安全检测与评估技术 案例4-4 利用TCP协议实现端口扫描 实现端口扫描的程序可以使用TCP协议和UDP协 议，原理是利用Socket连接对方的计算机的 某端口，试图和该端口建立连接如果建立成功，就说明对方开放了该端口，如果 失败了，就说明对方没有开放该端口第七章 网络安全检测与评估技术 主动式策略扫描 主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进 行攻击的行为并记录系统的反应，从而发现其中的漏洞。第七章 网络安全检测与评估技术 案例4-5 漏洞扫描 使用工具软件X-Scan-v2.3该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方 式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提