第六章 网络安全检测技术

一、本章复习建议

在历年考题中，本章主要出现在单项选择、填空、简答题中，其考察知识点平均分布在各节，学习层次包含识记、领会层面，建议学员在本章的学习过程中根据考核要求，全面掌握教材中各个考核知识点，在学习和复习阶段结合教材和相关例题、历年真题透彻理解本章节的相关内容。
 

二、本章重要知识点讲解

 
第一节  6.1 网络安全漏洞
从众多报刊杂志或者网络资源中，人们或许已经对计算机系统的“漏洞”这个概念有了一个感性的理解。确实，这里的“漏洞”并不是一个物理上的概念，它是指计算机系统具有的某种可能被入侵者恶意利用的属性。在计算机安全领域，安全漏洞（Security Hole）通常又称作脆弱性（vulnerability）。
简单地说，计算机漏洞是系统的一组特性，恶意的主体（攻击者或者攻击程序）能够利用这组特性，通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害。这里的漏洞既包括单个计算机系统的脆弱性，也包括计算机网络系统的漏洞。当系统的某个漏洞被入侵者渗透（exploit）而造成泄密时，其结果就称为一次安全事件（Security Incident）。
存在漏洞的原因：
现在仍然在Internet上使用的基础协议中，有很多早期的协议在最初设计时并没有考虑安全方面的需求。Internet上存在漏洞的另一个原因是Internet上高速膨胀的应用类型。各种各样崭新的、复杂的网络服务软件层出不穷，通常这些服务在设计、部署和维护阶段都会出现安全问题。在将新产品快速推入市场的过程中，程序员不能保证他们不犯以前犯过的错误，也不能保证不引入新的错误，这都可能造成服务软件本身的漏洞。另一方面，一些商业操作系统通常宣称自己为迎合用户的需求而设计，为了提供易用性、易维护性而牺牲一些安全性。虽然在很多时候用户都可以通过自定义安全策略加强安全性，但事实上很少有用户会这么做。另外，快速增加的复杂应用需要大量经过培训的系统管理员或者专家用户，而实际的情况是很多没有经验的管理员被委以安全管理的任务。这些情况都增加了系统被攻击的机会。
从技术角度而言，漏洞的来源主要有以下几个方面：
（1） 软件或协议设计时的瑕疵
协议定义了网络上计算机会话和通信的规则，如果在协议设计时存在瑕疵，那么无论实现该协议的方法多么完美，它都存在漏洞。网络文件系统（Network File System，NFS）便是一个例子。NFS提供的功能是在网络上共享文件，这个协议本身不包括认证机制，也就是说无法确定登录到服务器的用户确实是某一个用户，所以NFS经常成为攻击者的目标。另外，在软件设计之初，通常不会存在不安全的因素。然而当各种组件不断添加进来的时候，软件可能就不会像当初期望的那样工作，从而可能引入不可知的漏洞。
（2） 软件或协议实现中的弱点
即使协议设计得很完美，实现协议的方式仍然可能引入漏洞。例如，和E-mail有关的某个协议的某种实现方式能够让攻击者通过与受害主机的邮件端口建立连接，达到欺骗受害主机执行意想不到的任务的目的。如果入侵者在“To:”字段填写的不是正确的E-mail地址，而是一段特殊的数据，受害主机就有可能把用户和密码信息送给入侵者，或者使入侵者具有访问受保护文件和执行服务器上程序的权限。这样的漏洞使攻击者不需要访问主机的凭证就能够从远端攻击服务器。
（3） 软件本身的瑕疵
这类漏洞又可以分为很多子类。例如，没有进行数据内容和大小检查，没有进行成功/失败检查，不能正常处理资源耗尽的情况，对运行环境没有做完整检查，不正确地使用系统调用，或者重用某个组件时没有考虑到它的应用条件。攻击者通过渗透这些漏洞，即使不具有特权账号，也可能获得额外的、未授权的访问。
（4） 系统和网络的错误配置
这一类的漏洞并不是由协议或软件本身的问题造成的，而是由服务和软件的不正确部署和配置造成的。通常这些软件安装时都会有一个默认配置，如果管理员不更改这些配置，服务器仍然能够提供正常的服务，但是入侵者就能够利用这些配置对服务器造成威胁。例如，SQL Server的默认安装就具有用户名为sa、密码为空的管理员账号，这确实是一件十分危险的事情。另外，对FTP服务器的匿名账号也同样应该注意权限的管理。
 
安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性、可用性和完整性产生阻碍、破坏或中断的各种因素。可分为人为安全威胁和非人为安全威胁两大类。安全威胁与安全漏洞密切相关。安全威胁与安全漏洞密切相关，安全漏洞的可度量性使得人们对系统安全的潜在影响有了更加直观的认识。 
 
（一）6.1.1 网络安全漏洞威胁 ★
可以按照风险等级对安全漏洞进行归类，表6-1，6-2，6-3对漏洞分类方法进行了描述 。 
表6-1 漏洞威胁等级分类

严 重 度	等级	影响度
低严重度: 漏洞难以利用，并且潜在的损失较少。	1	低影响度: 漏洞的影响较低，不会产生连带的其他安全漏洞。
中等严重度: 漏洞难以利用，但是潜在的损失较大，或者漏洞易于利用，但是潜在的损失较少。	2	中等影响度: 漏洞可能影响系统的一个或多个模块，该漏洞的利用可能会导致其他漏洞可利用。
高严重度: 漏洞易于利用，并且潜在的损失较大。	3	高影响度: 漏洞影响系统的大部分模块，并且该漏洞的利用显著增加其他漏洞的可利用性。

 
表6-2 漏洞威胁综合等级分类

严重 等级	影响等级
	1	2	3
1	1	2	3
2	2	3	4
3	3	4	5

 
表6-3 漏洞威胁等级分类描述

等级	描  述
1	低影响度，低严重度
2	低影响度，中等严重度；中等影响度，低严重度
3	低影响度，高严重度；高影响度，低严重度；中等影响度，中等严重度
4	中等影响度，高严重度；高影响度，中等严重度
5	高影响度，高严重度

 
（二）6.1.2网络安全漏洞的分类
漏洞的分类方法主要有按漏洞可能对系统造成的直接威胁分类和按漏洞的成因分类两大类。
（1）按漏洞可能对系统造成的直接威胁分类 
 可以分为：远程管理员权限；本地管理员权限；普通用户访问权限；权限提升；读取受限文件；远程拒绝服务；本地拒绝服务；远程非授权文件存取；口令恢复；欺骗；服务器信息泄露；其它漏洞。
（2）按漏洞的成因分类 
可以分为：输入验证错误类；访问验证错误类；竞争条件类；意外情况处置错误类；设计错误类；配置错误类；环境错误类。
 
 
第二节  6.2 网络安全漏洞检测技术
网络安全漏洞检测主要包括端口扫描、操作系统检测盒安全漏洞探测。通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务；通过操作系统探测可以掌握操作系统的类型信息；通过安全漏洞检测可以发现系统中可能存在的安全漏洞。上述信息也是网络入侵者所感兴趣的信息，他们通常会在证实入侵前进行类似的扫描动作，网络安全漏洞检测的一个重要目的就是要在入侵者之前发现系统中存在的安全问题，及时地采取相应防护措施，防患于未然。
（一）6.2.1 端口扫描技术
1. 端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。根据所使用通信协议的不同，网络通信端口可以分为 TCP端口UDP端口两大类，因此端口扫描技术也可相应地分为TCP端口扫描技术和UDP端口扫描技术。
2. TCP端口扫描技术主要有全连接扫描技术、半连接（SYN）扫描技术、间接扫描技术和密码扫描技术。
3.UDP端口扫描技术主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送0字节的UDP信息包到目标计算机的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端口是开放的。
 
（二）6.2.2操作系统探测技术
操作系统的漏洞信息总是和操作系统的类型和版本相联系的，因此操作系统的类型信息是网络安全检测的一个重要内容。操作系统探测技术主要包括：获取标识信息探测技术、基于TCP/IP协议栈的操作系统指纹探测技术和ICMP响应分析探测技术。
 
（三）6.2.3 安全漏洞探测技术 ★
 
按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。
（1）信息型漏洞探测技术
信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破坏性影响的特点。其不足之处是对于具体某个漏洞存在与否，难以做出确定性的结论。 
为提高信息型漏洞探测技术的准确率和效率，许多改进措施也不断地被引入:
l 顺序扫描技术
l 多重服务检测技术
（2）攻击型漏洞探测技术
 
模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。
该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。
 
按照漏洞探测的技术特征，又可以划分为：基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。
基于应用的检测技术：主要检查一个应用软件是否存在安全漏洞，如应用软件的设置是否合理、有无缓冲区溢出问题等。
基于主机的检测技术：主要检查一个主机系统是否存在安全漏洞, 这种检查将涉及到操作系统的内核、文件属性、操作系统补丁等问题，它还能对用户口令进行解密测试，以验证口令的健壮性，找出那些不安全的口令。这种技术可以非常准确地定位和发现操作系统中的安全漏洞。但缺点是与操作系统平台相关，软件升级复杂。
基于目标的检测技术：主要通过审计一个系统的完整性来检查该系统内是否存在被故意安放的后门程序。这种安全审计将周期地使用散列算法对系统的特征信息，如文件的属性、注册号等进行计算，并将本次计算结果与初始计算结果相比较，以验证两者的一致性。如果不一致性, 则说明系统属性或文件内容发生了改变,及时通知管理员处理。
基于网络的检测技术：主要检查一个网络系统是否存在安全漏洞以及抗攻击能力, 它可以采用常规的漏洞扫描办法来检查网络中目标系统是否存在安全漏洞，
也可以采用仿真攻击的办法来测试目标系统的抗攻击能力，如采用脚本程序对目标系统进行攻击，根据对目标系统的工作状态和安全日志的分析，验证是否存在导致系统崩溃的潜在因素。这种检测技术是通过网络环境来测试目标系统的安全漏洞，与被测系统的平台无关，并且比较接近于实际的攻击环境。
 
安全漏洞扫描系统应当将这些安全漏洞扫描技术集成一体，综合地运用它们来检测目标系统的潜在的安全漏洞，提高安全漏洞识别的精度。
 
 
第三节  6.3 网络安全检测评估系统简介
计算机网络信息系统安全检测评估系统的发展非常迅速，现在已经成为计算机网络信息系统安全解决方案的重要组成部分。
网络安全检测评估技术通过对系统进行动态的试探和扫描，找出系统中各类潜在的弱点，给出相应的报告，建议采取相应的补救措施或自动填补某些漏洞。
该项技术主要优点如下：
a.预知性：网络安全扫描具备可以根据完整的安全漏洞集合，进行全盘检测的功能；而这些安全漏洞集合也正是导致网络遭受破坏的主要因素。因此，网络安全扫描可以在网络骇客动作之前，协助管理者及早发现网络上可能存在的安全漏洞。通过漏洞评估，网络管理人员能提前发现网络系统的弱点和漏洞，防患于未然。
b.重点防护：漏洞和风险评估工具，用于发现、发掘和报告网络安全漏洞。一个出色的风险管理系统不仅能够检测和报告漏洞，而且还能证明漏洞发生在什么地方以及发生的原因。它就像一个老虎队一样质询网络和系统，在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞。还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确，并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
正是由于该技术可预知主体受攻击的可能性，以及能够指证将要发生的行为和产生的后果，因而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。