14 漏洞扫描攻防技术(23页)

-280-第十四章漏洞扫描攻防技术14.1漏洞扫描概述信息革命在改变人类传统的生产、生活方式并极大促进生产力发展的同时，也带来了不容忽视的负面影响。网络和主机的安全正成为每一个计算机用户都面临的紧迫问题。为了解决这些问题，一系列的网络安全技术应运而生。漏洞扫描技术是一项重要的主动防范安全技术。非法入侵者的攻击行动主要是利用各种网络漏洞侵入，使防火墙类设施形同虚设。漏洞扫描器是自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器，发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”，及时修补漏洞，就可以有效地阻止入侵事件的发生，从而构筑坚固的安全防线。每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。这对于安全管理员来说，实在是个不利的消息。但是，多数的攻击者，通常做的是简单的事情。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着：多数攻击者所利用的都是常见的漏洞，这些漏洞，均有书面资料记载。这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。如何快速简便地发现这些漏洞，这个非常重要。漏洞，大体上分为两大类：①软件编写错误造成的漏洞；②软件配置不当造成的漏洞。漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了，安全管理员在使用这些工具的同时，黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。14.2基于网络和基于主机的漏洞扫描漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。目前，漏洞扫描，从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。下面分别介绍并分析基于网络的漏洞扫描工具和基于主机的漏洞扫描工具的工作原理。这两种工具扫描目标系统的漏洞的原理类似，但体系结构是不一样的，具有各自的特点和不足之处。14.2.1基于网络的漏洞扫描14.2.1.1概述基于网络的漏洞扫描器，就是通过网络来扫描远程计算机中的漏洞。比如，利用低版本的DNSBind漏洞，攻击者能够获取root权限，侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具，能够监测到这些低版本的DNSBind是否在运行。一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。14.2.1.2工作原理-281-基于网络的漏洞扫描器包含网络映射（NetworkMapping）和端口扫描功能。以基于网络的漏洞扫描器为例，来讨论基于网络的漏洞扫描器。基于网络的漏洞扫描器一般结合了Nmap网络端口扫描功能，常常用来检测目标系统中到底开放了哪些端口，并通过特定系统中提供的相关端口信息，增强了漏洞扫描器的功能。基于网络的漏洞扫描器，一般有以下几个方面组成：①漏洞数据库模块：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。②用户配置控制台模块：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统，以及扫描哪些漏洞。③扫描引擎模块：扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包，与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。④当前活动的扫描知识库模块：通过查看内存中的配置信息，该模块监控当前活动的扫描，将要扫描的漏洞的相关信息提供给扫描引擎，同时还接收扫描引擎返回的扫描结果。⑤结果存储器和报告生成工具：报告生成工具，利用当前活动扫描知识库中存储的扫描结果，生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上发现了哪些漏洞。图14-1漏洞扫描器体系结构14.2.2基于主机的漏洞扫描14.2.2.1概述基于主机的漏洞扫描器，扫描目标系统的漏洞的原理，与基于网络的漏洞扫描器的原理类似，但是，两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个-282-代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。现在流行的基于主机的漏洞扫描器在每个目标系统上都有个代理，以便向中央服务器反馈信息。中央服务器通过远程控制台进行管理。14.2.2.2工作原理基于主机的漏洞扫描器通常是一个基于主机的Client/Server三层体系结构的漏洞扫描工具。这三层分别为：漏洞扫描器控制台、漏洞扫描器管理器和漏洞扫描器代理。图14-2基于主机的漏洞扫描体系结构漏洞扫描器控制台安装在一台计算机中；漏洞扫描器管理器安装在企业网络中；所有的目标系统都需要安装漏洞扫描器代理。漏洞扫描器代理安装完后，需要向漏洞扫描器管理器注册。当漏洞扫描器代理收到漏洞扫描器管理器发来的扫描指令时，漏洞扫描器代理单独完成本目标系统的漏洞扫描任务；扫描结束后，漏洞扫描器代理将结果传给漏洞扫描器管理器；最终用户可以通过漏洞扫描器控制台浏览扫描报告。14.2.3基于网络的漏洞扫描与基于主机的漏洞扫描的比较下面，来分析一下基于网络的漏洞扫描工具和基于主机的漏洞扫描工具，所具有各自的特点以及不足之处。14.2.3.1基于网络的漏洞扫描14.2.3.1.1不足之处(1)基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供Windows2000操作系统的密码，这种情况下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。另外，Unix系统中有些程序带有SetUID和SetGID功能，这种情况下，涉及到Unix系统文件的权限许可问题，也无法检测。-283-(2)基于网络的漏洞扫描器不能穿过防火墙。如图14-3所示，与端口扫描器相关的端口，防火墙没有开放，端口扫描终止。(3)扫描服务器与目标主机之间通讯过程中的加密机制。从图14-3可以看出，控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据包是没有加密的。这样的话，攻击者就可以利用sniffer工具，来监听网络中的数据包，进而得到各目标集中的漏洞信息。图14-3基于网络的漏洞扫描器示意图14.2.3.1.2优点基于网络的漏洞扫描器有很多优点：(1)价格方面。基于网络的漏洞扫描器的价格相对来说比较便宜。(2)基于网络的漏洞扫描器在操作过程中，不需要涉及到目标系统的管理员。基于网络的漏洞扫描器，在检测过程中，不需要在目标系统上安装任何东西。(3)维护简便。当企业的网络发生了变化的时候，只要某个节点，能够扫描网络中的全部目标系统，基于网络的漏洞扫描器不需要进行调整。14.2.3.2基于主机的漏洞扫描14.2.3.2.1优点(1)扫描的漏洞数量多。由于通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。这一点在前面已经提到过。(2)集中化管理。基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。所有扫描的指令，均从服务器进行控制，这一点与基于网络的扫描器类似。服务器从下载到最新的-284-代理程序后，在分发给各个代理。这种集中化管理模式，使得基于主机的漏洞扫描器的部署上，能够快速实现。(3)网络流量负载小。由于漏洞扫描器管理器与漏洞扫描器代理之间只有通讯的数据包，漏洞扫描部分都有漏洞扫描器代理单独完成，这就大大减少了网络的流量负载。当扫描结束后，漏洞扫描器代理再次与漏洞扫描器管理器进行通讯，将扫描结果传送给漏洞扫描器管理器。(4)第四，通讯过程中的加密机制。从图4可以看出，所有的通讯过程中的数据包，都经过加密。由于漏洞扫描都在本地完成，漏洞扫描器代理和漏洞扫描器管理器之间，只需要在扫描之前和扫描结束之后，建立必要的通讯链路。因此，对于配置了防火墙的网络，只需要在防火墙上开放漏洞扫描器所需的5600和5601这两个端口，漏洞扫描器即可完成漏洞扫描的工作。14.2.3.2.2不足之处基于主机的漏洞扫描工具也存在不足之处。(1)价格方面。基于主机的漏洞扫描工具的价格，通常由一个管理器的许可证价格加上目标系统的数量来决定，当一个企业网络中的目标主机较多时，扫描工具的价格就非常高。通常，只有实力强大的公司和政府部门才有能力购买这种漏洞扫描工具，(2)基于主机的漏洞扫描工具，需要在目标主机上安装一个代理或服务，而从管理员的角度来说，并不希望在重要的机器上安装自己不确定的软件。(3)随着所要扫瞄的网络范围的扩大，在部署基于主机的漏洞扫描工具的代理软件的时候，需要与每个目标系统的用户打交道，必然延长了首次部署的工作周期。14.2.4总结在检测目标系统中是否存在漏洞方面，基于网络的漏洞扫描工具和基于主机的漏洞扫描工具都是非常有用的。有一点要强调的时，必须要保持漏洞数据库的更新，才能保证漏洞扫描工具能够真正发挥作用。另外，漏洞扫描工具，只是检测当时目标系统是否存在漏洞，当目标系统的配置、运行的软件发生变换时，需要重新进行评估基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各自具有自己的特点，也都有不足之处。安全管理员在选择扫描工具时，可以根据自己的需要，选择最适合自己的产品。14.3如何选择漏洞扫描工具对于一个复杂的多层结构的系统和网络安全规划来说，漏洞扫描是一项重要的组成元素。漏洞扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，提供相应的整改措施。目前，市场上有很多漏洞扫描工具，按照不同的技术（基于网络的、基于主机的、基于代理的、C/S的）、不同的特征、不同的报告方法，以及不同的监听模式，可以分成好几类。不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性上也有很大区别。选择正确的隐患扫描工具，对于提高你的系统的安全性，非常重要。14.3.1漏洞扫描工具的衡量因素决定是否采用漏洞扫描工具来防范系统入侵是重要的第一步。当您迈出了这一步后，接下来的是：如何选择满足您公司需要的合适的漏洞扫描技术，这同样也很重要。以下列出了一系列衡量因素：-285-①底层技术（比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描）；②特性；③漏洞库中的漏洞数量；④易用性；⑤生成的报告的特性（内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等）；⑥对于漏洞修复行为的分析和建议（是否只报告存在哪些问题、是否会告诉您应该如何修补这些漏洞）；⑦安全性（由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险）；⑧性能；⑨价格结构14.3.1.1底层技术比较漏洞扫描工具，第一是比较其底层技术。你需要的是主动扫描，还是被动扫描；是基于主机的扫描，还是基于网络的扫描，等等。一些扫描工具是基于Internet的，用来管理和集合的服务器程序，是运行在软件供应商的服务器上，而不是在客户自己的机器上。这种方式的优点在于检测方式能够保证经常更新，缺点在于需要依赖软件供应商的服务器来完成扫描工作。扫描古城可以分为“被动”和“主动”两大类。被动扫描不会产生网络流量包，不会导致目标系统崩溃，被动扫描工具对正常的网络流量进行分析，可以设计成“永远在线”检测的方式。与主动扫描工具相比，被动扫描工具的工作方式，与网络监控器或IDS类似。主动扫描工具更多地带有“入侵”的意图，可能会影响网络和目标系统的正常操作。他们并不是持续不断运行的，通常