网络安全防护附漏洞检测技术.docx

1、网络安全防护附漏洞检测技术网络安全防护及漏洞检测技术一、 网络安全重要吗？ 这个问题现在似乎不能以是或否来回答。因为网络安全已不仅在企业显得重要，而且已上升到国家和政府的意识行为。我们知道，当今社会，随着计算机及通信技术的迅猛发展，网络已越来越渗透到一个国家的政治、经济和军事命脉，随着网络上各种业务的兴起，如电子商务、电子现金、数字货币、网络银行等的兴起，以及各种专用网（如金融网等）的建设，使得网络安全问题显得越来越重要，因此对网络安全技术的研究成为现在计算机通信界的一个热点，并且成为信息科学的一个重要研究领域。矚慫润厲钐瘗睞枥庑赖。现在世界上每年因利用计算机网络进行犯罪所造成的直接经济损失惊

2、人。据美国AB联合会早年的调查和专家评估，美国每年因计算机犯罪所造成的经济损失高达150亿美元。1984年美国曾发生利用银行网络盗窃行为，造成了2500万美元的损失，我国也发生了多起类似事件。去年发生的世界著名网站Yahoo、sina等瘫痪的事件大家还记忆犹新，各种网络事件层出不穷，这充分暴露了网络安全的脆弱性，而且网络安全不仅威胁着企业的直接利益，同时也在很大程度上危及着一个国家的安全，仅美国就发生多起黑客潜入五角大楼、航天局等国家机密计算机网络系统，窃取重要的网络情报。而且，随着信息技术的发展，各国为了达到其政治、经济和军事的战略目的，掀起了一场前所未有的战争即信息战。其实质就是利用各种计

3、算机网络攻击技术来夺取未来信息战场的制信息权。今年五一的中美“黑客”大战在舆论上也产生了很大的影响。聞創沟燴鐺險爱氇谴净。因此，各国都非常重视本国的网络安全建设。我国也不例外，出台了一系列的政策和法规，并成立了相应的专门机构指导网络安全的建设工作。残骛楼諍锩瀨濟溆塹籟。为了有效地保障国家网络空间中的关键信息和基础设施的安全，建立全国性的计算机网络应急处理体系，国家成立了国家信息化工作领导小组（朱总理任组长)，并成立了计算机网络与信息安全管理工作办公室，组建国家计算机网络应急保障体系，组织有关安全服务企业作为技术支撑单位。酽锕极額閉镇桧猪訣锥。 主要采取的战略举措有： 建立国家计算机病毒应急处理

4、中心，专门负责全国范围的计算机病毒的防治、检测、发布公告等事宜； 建立国家计算机网络应急处理协调中心，为应急处理的全面开展提供参考； 建立计算机网络入侵防范中心，为防范和妥善处置黑客攻击事件提供技术支持； 建立国家信息安全测评认证体系； 在全国推行安全产品许可证发放制度，逐步规范安全产品的市场流通； 启动信息安全专项的科技计划和产业发展计划； 开展信息安全专门人才的培养与岗位培训； 出台一些信息安全管理的政策法规等近几年来，网络安全不管是从它的发展需求，还是概念炒作上来讲，发展都是很快的，网络安全公司也是近几年IT产业发展的一道亮景。彈贸摄尔霁毙攬砖卤庑。二、 网络安全体系及技术1. 基本知识

5、国际标准化组织（ISO）对“计算机安全”的定义是：为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因遭到破坏、更改和泄露。 謀荞抟箧飆鐸怼类蒋薔。而网络安全从其本质上讲就是网络上的信息安全。它涉及的领域非常广泛。具体来说，网络安全是指网络系统中的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改和泄露，系统连续可靠正常地运行，网络服务不中断。厦礴恳蹒骈時盡继價骚。随着计算机技术的发展和应用，1981年，美国国防部计算机安全中心就开始全面研究计算机系统所处理的机密信息的保护要求和控制手段，4年后即1985年开发出计算机安全标准可

6、信任计算机标准评估准则（TCSEC，Trusted Computer Standards Evaluation Criteria）,为计算机安全产品的评测提供了测试和方法，指导信息安全产品的制造和应用。它依照由低到高规定了计算机信息安全等级即：D类，C类C1级，C类C2级，B类B1级，B类B2级，B类B3级和A类。茕桢广鳓鯡选块网羈泪。D类也叫“最低安全”类，只要评估产品达不到较高安全级别，就属于此类，一般认为：整个系统是不可信任的，是可用的最低安全形式。鹅娅尽損鹌惨歷茏鴛賴。C类也叫自由选择性安全保护，它包含两个安全等级，C1和C2级，该类产品对硬件提供了某种程度的保护，使它不再容易受到损害

7、，它还提供按需知密的访问功能，即监控功能和基本审核功能。籟丛妈羥为贍偾蛏练淨。C1级产品通过访问控制限制将用户和数据分开。而C2级则是在C1级基础上，通过强制执行更为细致的控制访问策略，审核所有与安全有关的事件，来提高资源的隔离性。預頌圣鉉儐歲龈讶骅籴。B类也叫强制性安全保护，包括B1，B2，B3三个级别。B1级的安全标签保护是系统中所有对象必须与一种加密标签相关联。B2级叫做结构保护，要求计算机系统中所有对象都加标签，而且给设备分配单个或多个安全级别。B3级叫做安全域保护，使用安装硬件的办法来加强域。渗釤呛俨匀谔鱉调硯錦。A类也叫验证设计，是当前规定中最高安全级别。它包含了一个严格的设计、控

8、制和验证过程，创建安全政策的正式模型，设计方案的最高级正式技术说明。铙誅卧泻噦圣骋贶頂廡。2. 网络安全的威胁 病毒和黑客是目前网络安全的两大杀手。而病毒和黑客技术的融合发展趋势使网络安全面临着更大的威胁。如今年发生的红色代码病毒是开创了病毒新发展的里程碑，它即是利用了网络安全漏洞，并采用了高超的病毒编程技巧使得病毒迅速传播并造成了很大的破坏。擁締凤袜备訊顎轮烂蔷。 从一般意义上讲，网络安全所面临的威胁主要可分为两大类：即是对网络中信息的威胁，再就是对网络中设备的威胁。而从人的因素上来考虑，影响网络安全的因素有人为和非人为的两种情况。贓熱俣阃歲匱阊邺镓騷。 根据RFC1244（Security

9、 Handbook）的定义，造成网络安全威胁的三个主要类型有： 非授权访问（unauthorized access）一个非授权的人的入侵； 信息泄露（disclosure of information）造成将有价值的和高度机密的信息泄露给无权访问该信息的人的所有问题；坛摶乡囂忏蒌鍥铃氈淚。 拒绝服务（denial of service ）使得系统难以或无法继续执行任务的所有问题。除此以外，还有： 人为的无意失误：如操作员使用不当、安全配置不规范等造成的安全漏洞； 人为的恶意攻击： 网络软件的漏洞和“后门”； 破坏数据的完整性如以非法手段窃取得对数据的使用权，删除、修改某些重要信息等。从根本上讲

10、，网络安全的威胁来自于计算机基本技术自身存在的种种隐患。这主要表现在： 操作系统的脆弱性； 网络协议自身的安全脆弱性； 数据库管理系统的安全脆弱性 网络配置的不规范等。3网络安全模型结构为了适应网络技术的发展，国际标准化组织ISO的计算机专业委员会根据开放系统互连参考模型OSI制定了一个网络安全体系结构模型，该模型主要解决对网络系统中的传达室输信息进行保密的问题。下面列出了UNIX网络安全体系结构模型，该结构主要针对的是UNIX Internet连接。蜡變黲癟報伥铉锚鈰赘。层次名称功能描述7POLICYPOLICY 定义和指导6PERSONNEL使用设备和数据的人员5LAN计算机设备和数据4I

11、NTERNAL-MARK连接器内部连接器3GATEWAYOSI 7、6、5、4层的功能2PACKET-FILTEROSI 3、2、1层的功能1EXTERNAL-DEMARK公共访问外部连接 最顶层：定义了组织的安全策略，包括高层次定义的允许的安全风险，以及下层的如何配备设备及过程； 第六层：定义了安装、操作、维护、使用以及通过其他方法访问用户网络人员。在该层次上的安全策略，应该反映出用户对总体系统安全的期望值；買鲷鴯譖昙膚遙闫撷凄。 局域网层：定义用户的安全程序要保护的设备和数据。它也包括一些用于实现用户的安全策略所需的监控程序； 内部区分层：定义了用户如何将局域网连接到广域网以及如何将局域连

12、接到防火墙上。这可能会涉及到很多的网络连接设备；綾镝鯛駕櫬鹕踪韦辚糴。 嵌入的UNIX网关层：定义整体平台，包括在第四层的网络接口以及在第三层的路由器。嵌入的UNIX网关用于为广域网提供防火墙服务；驅踬髏彦浃绥譎饴憂锦。 数据包过滤层：该层次应该既提供到第一层的连接，又提供根据一定标准对输入输出的数据包进行过滤的功能； 外部区分层：定义用户的系统如何与设备、电话线路、或其它的用户不能在组织内直接控制的介质进行连接；为了实现上述各种功能服务，其于这种安全体系提出的安全技术机制主要有： 加密机制：用加密的方法与其它技术结合，可以提供数据的保密性和完整性，目前加密技术非常先进； 数字签名机制； 访问

13、控制机制：它是按事先确定的规则决定主体对客体的访问是否合法； 数据完整性机制； 交换鉴别机制：它是以交换信息的方式来确认实体身份的机制，如利用口令、指纹识别等技术； 业务流量填充机制：它主要是以对抗非法者在线路上监听数据并对其进行流量和流向分析； 路由控制技术； 公证机制：它使得能鹤双方进行数据通信时必须经过该机构来转换来保证信任度；当然，网络安全系统并非局限于上述各项技术手段，它还需要政策法规、管理策略上的各种支持，是一个涉及到方方面面的极其复杂的系统工程。我们可以以下面的三维体系图来描述网络安全的各个层面。猫虿驢绘燈鮒诛髅貺庑。4网络安全解决方案完整的网络安全解决方案。应该根据应用特点，对

14、症下药，有针对性地解决问题。具体问题包括： 关于物理安全的考虑 关于数据安全的考虑 数据备份的考虑 防病毒的考虑 关于操作系统/数据库/应用系统的安全考虑 网络系统安全结构的考虑 通信系统安全的考虑 关于口令安全的考虑 关于软件研发安全的考虑 关于人员安全因素的考虑 网络相关设施的设置和改造 安全产品的选型 安全策略与安全管理保障机制的设计 网络安全行政与法律保障体系的建立 长期安全顾问服务 服务的价格 事件处理机制 安全监控网络和安全监控中心的建立 安全培训等。三、 漏洞及漏洞检测技术1 什么是漏洞网络漏洞是黑客有所作为的根源所在。漏洞是指任意的允许非法用户XX获得访问或提高其访问权限的硬件

15、或软件特征。它是由系统或程序设计本身存在的缺陷，当然也有人为系统配置上的不合理造成成的。目前流行的关于漏洞的分类主要有A类和B类的划分形式。锹籁饗迳琐筆襖鸥娅薔。1）安全漏洞的几种形态A类划分:1、操作系统漏洞（先天）2、应用程序漏洞（先天）3、系统配置漏洞（人为）4、工作机制漏洞（人为）5、网络系统漏洞（人为）6、管理机制漏洞（人为）2）安全漏洞的几种形态B类划分:1、管理漏洞2、软件漏洞3、结构漏洞4、信任漏洞2 CVE标准 目前，已公布的各种系统漏洞有上千种，国际上为了规范漏洞的行为特征和便于管理，也成立了相应的组织构，并规范收录和管理现存各种漏洞，即CVE标准。構氽頑黉碩饨荠龈话骛。

16、CVE即Common Vulnerabilities and Exposures，它是经专门的国际权威机构对已分公开发布的信息安全漏洞的定义、归类和列表。輒峄陽檉簖疖網儂號泶。CANCVE的候选编号授权机构（the CVE Candidate Numbering Authority），它负责对一个新发现的信息安全漏洞进行预先编号，然后提交给CVE公告牌和编委们进行专门讨论，是否被收录入CVE库中，成为CVE的正式成员。尧侧閆繭絳闕绚勵蜆贅。 CVE编委（CVE Editorial Board）：它负责对CAN编号的漏洞进行讨论、修正、并表决是否可收录入CVE库中；识饒鎂錕缢灩筧嚌俨淒。 MIT

17、RE是一个非盈利性的、与政府关系密切的相对独立的机构，它维护CVE的标准并对CVE的各项事务发展提供中立指导。它兼有CAN及CVE编委两个职能。凍鈹鋨劳臘锴痫婦胫籴。Http:/cve.mitre.org.，是CVE公开发布的站点，并可自由下载。恥諤銪灭萦欢煬鞏鹜錦。CVE中各个漏洞条目的主要内容是漏洞编号及名称、漏洞描述及相关参考信息。一个预选漏洞的编号定义，它包括漏洞发现的年度及该年度的序号，如CAN-1999-0067.当它正式被接纳为CVE正式成员后，它将更名为CVE-1999-0067，并给出它正式的定义描述。也就是说经CAN预选的漏洞不一定最终能成为CVE的正式成员。鯊腎鑰诎褳鉀沩

18、懼統庫。一个漏洞被正式收入CVE库的过程一般为：发现漏洞公开讨论CAN对其预编号提交专委讨论、投票进入CVE正式编号、修改、定义描述、正式入选CVE公开发布。硕癘鄴颃诌攆檸攜驤蔹。3 典型漏洞介绍这里我们列出了今年SANS公布的20类最常见危险的安全漏洞，我们着重介绍几个。1）针对所有系统的：（1）操作系统和应用程序的默认安装 描述：大多数操作系统和应用软件提供了自动安装的功能，实际上被安装的有些功能是用户不需要的，因而不对其进行设置，从而留下了大量漏洞。阌擻輳嬪諫迁择楨秘騖。 受影响的系统：大多数的操作系统和应用程序 相关CVE条目： 如何发现：使用端口扫描器和漏洞扫描器 如何消除：对系统进

19、行合理设置，打补丁。（2）密码为空的帐号和弱密码帐号 描述：大多数系统都是通过密码来限制访问权限。某些系统存在默认的帐号和密码，如果不加以修改而直接使用，很容易被黑客利用。一般来讲，获得用户名是比较容易的，如果存在空密码和弱密码，很容易被破解。氬嚕躑竄贸恳彈瀘颔澩。 受影响的系统：所有利用用户名和密码进行身份验证的主机。 相关CVE条目：CVE-1999-0291, CAN-1999-0501, CAN-1999-0502, CAN-1999-0503, CAN-1999-0505,釷鹆資贏車贖孙滅獅赘。CAN-1999-0506, CAN-1999-0507, CAN-1999-0508,

20、CAN-1999-0516, CAN-1999-0517,怂阐譜鯪迳導嘯畫長凉。CAN-1999-0518, CAN-1999-0519 如何发现：将所有的用户名列表，用专门的密码破解程序进行试探，发现弱密码并进行修改。对网内的用户名进行控制，添加用户名必须登记，及时删除不用的用户。谚辞調担鈧谄动禪泻類。 如何消除：第一步，删除空密码和弱密码的用户或对其密码进行加强；第二步，制定密码规则，限制用户使用简单的密码，限制密码的使用期限，降低被破解的可能性。另外，须对内部人员就如何选择强密码进行培训。（3）无备份或备份不完全 描述：当事故发生时，以前数据的一个完整备份对于灾难恢复是很重要的。有的单位

21、每天都做备份，但是不检查该备份是否可以工作；有的单位有备份规则却没有相应的对备份文件存储规则。对备份文件的不完整的保护，容易导致泄密。嘰觐詿缧铴嗫偽純铪锩。 受影响的系统：所有的任务系统 如何发现：首先对系统进行风险评估，制定相应的备份规则。依据该备份规则，检查备份过程和备份介质的管理。 如何消除：保持备份最新，定期检查备份文件是否正常。（4）开放了大量端口 描述：用户和黑客都是通过端口连接系统，开放越多的系统，便为黑客入侵系统提供了越多的途径。因此应该尽可能的少开放端口。熒绐譏钲鏌觶鷹緇機库。 受影响的系统：大多数操作系统。 相关CVE条目：CVE-1999-0189, CVE-1999-0

22、288, CVE-1999-0351, CVE-1999-0416, CVE-1999-0675,鶼渍螻偉阅劍鲰腎邏蘞。CVE-1999-0772, CVE-1999-0903, CVE-2000-0070, CVE-2000-0179, CVE-2000-0339,纣忧蔣氳頑莶驅藥悯骛。CVE-2000-0453, CVE-2000-0532, CVE-2000-0558, CVE-2000-0783, CVE-2000-0983颖刍莖蛺饽亿顿裊赔泷。 如何发现：使用netstat命令可以在本地查看开放的端口。更有效的方法是从另一台机器上运行端口扫描器，进行检测，比如NMAP。进行扫描时要考

23、虑到可能对系统引起的问题。濫驂膽閉驟羥闈詔寢賻。 如何消除：得知了开放的端口后，确定必须要开放的端口，然后进行设置。UNIX下，配置inetd.conf文件，关闭不需要的端口；Windows下，关闭不需要的服务，关闭相应端口。銚銻縵哜鳗鸿锓謎諏涼。（5）对于某些具有“正确”IP地址的数据包没有过滤 描述：IP地址欺骗是黑客进行攻击时常用的手法。黑客利用你局域网内允许的正确地址，欺骗防火墙，进入内部网，进行扫描或攻击。该地址在内网是合法的，不会被怀疑。挤貼綬电麥结鈺贖哓类。 受影响的系统：大多数操作系统和网络设备。 相关CVE条目：CAN-1999-0528, CAN-1999-0529, CA

24、N-1999-0240, CAN-1999-0588赔荊紳谘侖驟辽輩袜錈。 如何发现：发送欺骗数据包，查看你的外部防火墙或路由器能否对其拦截。 如何消除：配置防火墙，使其阻塞从外网来的、具有内网合法地址的数据包。（6）无日志或不完全的日志 描述：当前的计算机网络，不可能从根本上阻挡黑客的入侵。当入侵事件发生后，没有日志，几乎不可能觉察到黑客究竟对你的系统做了什么。如果不能做到这一点，你只好重装系统或者冒着风险在可能已被黑客控制的机器上工作。塤礙籟馐决穩賽釙冊庫。 受影响的系统：所有操作系统和网络设备。 相关CVE条目：CAN-1999-0575, CAN-1999-0576, CAN-1999

25、-0578裊樣祕廬廂颤谚鍘羋蔺。 如何发现：检查个系统的日志。如果没有日志或者有但没进行几种保存和备份，就存在此方面的问题。 如何消除：对所有系统安装本地日志系统，并将日志发至远程的日志处理中心。这样提供了冗余并多了一层安全。这样远程备份的日志可以和本地日志进行比较。可疑的问题可以通过比较看出。同时，这种机制可以进行日志的交叉检查，一台服务器上的一条日志信息看起来可能没什么，但是50台服务器上的同一条日志信息可能就说明了一个大问题。仓嫗盤紲嘱珑詁鍬齊驁。（7）易受攻击的CGI程序 描述：大多数Web服务器，包括微软的IIS和UNIX的Apache，都支持CGI（通用网关接口）以实现网页的交互性

26、。实际上，许多WEB服务器使用相同的CGI程序。然而，许多CGI程序员都不能意识到这为来自任意地址的任意用户提供了对运行WEB 服务的本地系统提供了一个直接连接。CGI程序成了一个对入侵者特别有吸引力的目标，因为相对来讲WEB服务器软件的权限更容易获得并对其进行操作。入侵者通过有漏洞的CGI程序可以修改对方网页，偷盗信用卡号，预留后门等。这种漏洞一般是由于没有经验的程序员造成的。同时，作为一条基本的规则，样例程序应该从系统中删除。绽萬璉轆娛閬蛏鬮绾瀧。 受影响的系统：所有的WEB服务器。 相关CVE条目：CVE-1999-0067, CVE-1999-0346, CVE-2000-0207,

27、CVE-1999-0467, CAN-1999-0509,骁顾燁鶚巯瀆蕪領鲡赙。CVE-1999-0021, CVE-1999-0039, CVE-1999-0058, CVE-2000-0012, CVE-2000-0039,瑣钋濺暧惲锟缟馭篩凉。CVE-2000-0208, CAN-1999-0455, CAN-1999-0477如何发现：首先是系统提供的一些样例程序，一般来讲，有这些程序存在，你的系统就是危险的。其次，利用CGI漏洞扫描器（whisper）进行扫描，模拟一个攻击者的可能行为，发现可能存在的CGI漏洞。鎦诗涇艳损楼紲鯗餳類。 如何消除：清楚系统提供的CGI样例程序。a) 对

28、留下的CGI程序进行检查，踢出不安全的脚本。b) 保证CGI程序员的编程水平和经验。c) 针对已发现的漏洞打补丁。d) 保证你的CGI可执行目录（bin）下没有任何的编译器和解释程序。e) 清除BIN目录下的查看原码脚本。f) 不要以超级管理员或是根用户权限运行WEB服务器程序。g) 对于不需CGI支持的服务器，不要运行CGI功能。针对WINDOWS系统的：（8）UNICODE漏洞 描述：UNICODE为所有字符提供了唯一的编码，而不论是何种平台、程序和语言。UNICODE已被包括微软在内的大多数开发商所采纳。然而，通过向IIS服务器发送一个精心构造的URL（其中包括不合法的UNICODE U

29、FT8字符串），攻击者可以进出任意目录并执行任意脚本。这种攻击也被称为遍历目录攻击。栉缏歐锄棗鈕种鵑瑶锬。 受影响的系统：Windows NT4.0+IIS4.0，Windows 2000+IIS5.0（未安装SP2）。辔烨棟剛殓攬瑤丽阄应。 相关CVE条目：CVE-2000-0884 如何发现：如果使用一个未打过补丁的IIS服务器，你的系统可能就存在此漏洞。可以使用hfnetchk工具进行漏洞检测。该工具用来探测已经安装过的补丁。如果下列补丁没有安装，该漏洞就是存在的。峴扬斕滾澗辐滠兴渙藺。 Q269862 - MS00-057 Q269862 - MS00-078 Q277873 - MS

30、00-086 Q293826 - MS01-026 Q301625 - MS01-044 Windows 2000 Service Pack 2也可以利用下面的URL进行漏洞检测：http:/victim/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:詩叁撻訥烬忧毀厉鋨骜。如果该漏洞存在，就会返回C盘的目录。 如何消除：必须安装微软提供的最新补丁。IIS LockDown Tool和URLScan工具都可以阻止此漏洞。则鯤愜韋瘓賈晖园栋泷。（9）ISAPI缓冲区溢出 描述：绝大多数以Windows NT和Windows 2000为平台的WEB

31、服务器使用的都是IIS服务程序。安装IIS服务程序会自动安装几个ISAPI（Internet服务应用编程接口）扩展。ISAPI使用DLL扩展IIS服务器的功能。有几个DLL，例如idq.dll，存在缓冲区溢出漏洞，容易被攻击者利用。胀鏝彈奥秘孫戶孪钇賻。 受影响的系统：idq.dll缓冲区溢出漏洞影响运行索引服务的Windows 2000。.printer缓冲区溢出漏洞影响运行IIS5.0的Windows 2000 Server, Advanced Server, 和 Server Data Center Edition。鳃躋峽祷紉诵帮废掃減。 相关CVE条目：CVE-1999-0412, CVE-2001-0241, CAN-2000-1147, CAN-2001-0500稟虛嬪赈维哜妝扩踴粜。（10）针对IIS的远程数据服务的攻击（11）NETBIOS未受保护的WINDOWS