网络与信息安全学习(七)
8.1 网络安全漏洞
8.1.1 漏洞概述
1.漏洞的定义与分类(级)
漏洞是指计算机网络系统在硬件、软件或协议中存在的各种安全缺陷(也称Bug)。漏洞包括:硬件设计漏洞、软件编程漏洞和协议漏洞等。
1)一级漏洞(也称高危漏洞)
2)二级漏洞
3)三级漏洞
4)四级漏洞
2.漏洞产生的原因
①软件设计不合理、编程出现错误。
这类漏洞又分两类:一是操作系统本身设计缺陷产生的漏洞,二是应用软件产生的安全漏洞。
②安全策略设置不当。
③人员缺乏安全意识。
诸多漏洞是管理员对系统错误配置,或没有及时升级造成的。
3.Windows系统漏洞多的原因
1)其桌面OS的垄断地位,存在的问题暴露快,如:IIS服务存在匿名登陆错误。
2)与Linux相比,Windows属于暗箱操作,其安全问题均由微软自身解决。
4 .漏洞的特点
1)漏洞往往在很大的范围内存在。
2)在同种设备的不同版本之间,存在不同的安全漏洞。
3)漏洞与时间相关,新版系统纠正旧版中漏洞的同时,又会产生新的漏洞,故漏洞问题将长期存在。
8.1.2 常见的安全漏洞
以微软系统为例!
1.协议漏洞
1)LSASS协议漏洞
LSASS(Local Security Authority Service,本地安全授权服务)漏洞是该服务中的缓冲区溢出漏洞,是微软Windows系统的安全机制,用于本地安全和登陆策略。
“震荡波(Worm.Sasser)”蠕虫病毒就是利用这个漏洞实施攻击的,攻击时先使进程LSASS.EXE缓冲区溢出,攻击者取得目标系统的控制权限,这时被攻击的系统会出现如:“LSASS.EXE终止”提示1分钟倒计时窗口、“LSASS.EXE出错”窗口,需要关机现象。
病毒运行后,将自身复制到系统目录%Windows%下,文件名为:avserve.exe,并在系统注册表启动项中加入自启动项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run avserve.exe = "%Windows%\avserve.exe"。
2)RPC接口协议漏洞
RPC(Remote Procedure Call Protocol,远程过程调用协议)是 Windows 操作系统中的一种协议,它提供进程间通信机制,通过这一机制,主机程序可执行远程系统上的代码。
3)IE协议(浏览器)漏洞
2.端口漏洞
1)53端口
该端口对应DNS(域名解析)服务。
2)67、68端口
67、68端口分别是为DHCP服务的引导程序协议Server(服务端)和引导程序协议Client(客户端)开放的端口。
3)79端口
79端口是为Finger服务开放的,用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等详细信息。
8)135端口
135端口主要用于RPC协议,并提供DCOM(分布式组件对象模型)服务。
9)139端口
主要提供Windows文件和打印机共享服务。
10)443端口
443端口即网页浏览端口,主要是用于HTTPS(即S—HTTP协议)服务,提供加密和安全的端口传输。
在安全性要求较高的网站,如:银行、证券、购物等网站,都采用HTTPS服务,以保证交易的安全。
HTTPS服务通过SSL(安全套接字)保证安全性,黑客会利用SSL存在的漏洞实施攻击。
建议开启该端口,使网页能安全访问。
8.2 网络安全扫描
8.2.1 扫描的定义与分类
1、扫描的定义
为防止黑客利用协议漏洞、端口漏洞及软硬件设计漏洞等漏洞对网络实施攻击,可事先对网络系统进行安全扫描,以提前采取相应的防范措施。
安全扫描是一种对计算机网络系统进行安全检测,以查找安全隐患和可能被攻击者利用的漏洞的技术。从本质上讲,安全扫描就是一种检测技术。它采用模拟黑客攻击的方式,对目标可能存在的漏洞进行检测。
通过漏洞扫描发现远端网络或主机的配置、TCP/UDP端口分配、提供的网络服务等信息。
2、扫描的分类
1)按扫描对象分:主机安全扫描和网络安全扫描。
2)按扫描方式分:基于网络的主动式扫描和基于主机的被动式扫描。
主动式扫描通过模拟攻击行为记录系统响应,发现网络中存在的漏洞。被动式安全扫描通过检查系统中不适当的设置、脆弱性口令等,发现系统中存在的漏洞。
3、扫描的特点
1)误报率低
2)属主动防御
3)是把“双刃剑”
4、扫描的功能
① 跟踪用户进入、在系统中的行为和离开的信息;
② 报告和识别文件的改动;
③ 纠正系统的错误设置;
④ 识别正在受到的攻击;
⑤ 减轻系统管理员搜索最近黑客行为的负担;
⑥ 使安全管理由普通用户来负责;
⑦ 为制定安全规则提供依据。
8.2.2 安全扫描过程
完整的网络安全扫描过程包括三个阶段:
1)发现目标阶段
发现目标主机或网络。
2)搜集信息阶段
发现目标后进一步搜集目标信息,包括:操作系统类型、运行的服务以及服务软件的版本等,并进一步探测该网络的拓扑结构、路由设备以及各主机的状态等信息。
3)判断和测试阶段
根据搜集到的信息,判断或者进一步测试系统是否存在漏洞。
安全扫描包括:Ping扫描(Ping sweep)、操作系统扫描、访问控制规则扫描、端口扫描和漏洞扫描。
其中:Ping扫描在扫描的第一个阶段采用,帮助识别系统(主机)是否处于活动(开机)状态。
操作系统扫描、访问控制规则扫描和端口扫描在扫描的第二个阶段采用,访问控制规则扫描用于获取被防火墙保护的远端网络的信息;而端口扫描则是探知系统处于监听状态下的服务。
漏洞扫描在扫描的第三个阶段采用,它在端口扫描的基础上,对得到的信息分析处理,检测目标系统存在的安全漏洞。
8.2.3 扫描的技术、不足与发展
1、扫描用的检测技术
1) 基于应用的检测技术
2) 基于主机的检测技术
3) 基于目标的检测技术
4) 基于网络的检测技术
2、安全扫描的不足
1)现有漏洞扫描基本采用漏洞特征匹配的方法,这就存在一个特征库更新的问题。
2)当扫描发现目标主机某些端口开放或存在漏洞时,不能智能化探测。
3)无法防御攻击者利用脚本漏洞和未知漏洞的入侵,对拒绝服务漏洞的探测自动化程度低。
4)当扫描目标规模扩大,对目标进行全面扫描时,扫描速度较慢。
3、扫描技术的发展
1)模块化
扫描系统由若干个插件组成。每个插件封装多个漏洞扫描方法,主扫描过程通过调用插件执行扫描任务。系统更新时,添加新的插件就可增加新的扫描功能。
使用专用脚本语言定制一个简单的测试,为软件添加新的测试项,同时将简化编写新插件的工作,使扩充软件功能变得容易。
2)专家系统化
安全扫描系统对扫描结果进行整理后,可对网络状况进行评估,并提出整个网络的安全解决方案,相当于一个专家系统。
8.3 端口扫描
8.3.1 端口与服务
每个应用服务(如:WWW、FTP等)被赋予一个唯一的地址,这个地址称为端口。当客户有请求到达服务器时,服务器就启动一个服务进程与其进行通信。
端口是专门为计算机通信而设计的,它由TCP/IP协议定义,其中规定,用IP地址和端口作为套接字Socket,套接字代表TCP连接的一个连接端;即用[IP:端口]定位一台主机中的进程,端口与进程一一对应。一个端口就是一个潜在的入侵通道。
端口号范围为0~65535,进程在端口上监听,等待客户请求。
1)公认端口(0~1023)
2)注册端口(1024~49151)
3)动态或私有端口(49152~65535)
实际上,计算机通常从1024开始分配动态端口!
不论是合法用户还是攻击者,都是通过开放的端口连接系统的。端口开放得越多,系统就越不安全。
另外,多数软件(包括:操作系统和应用程序)带有安装程序,为加快安装,安装程序激活了很多功能,并安装了一些用户并不需要的组件,使多数软件在安装后可能会留下安全漏洞。
而这些组件对用户来讲,一是暂不使用故不会主动给它打补丁,二是根本不知道在软件安装过程中,实际安装了这些组件。所以,这些没有打补丁的服务(对软件来说,缺省安装总是包括了额外的服务和相应的开放端口)极易成为攻击计算机的入口。
一般来讲,不需要的服务和额外的端口应关掉;不需要的软件要卸载。
8.3.2 端口扫描
1.端口扫描原理
扫描器通过端口扫描,向目标主机的TCP/IP服务端口发送探测数据包,与目标主机的TCP/IP端口建立连接,请求某些服务(如:FTP等),并记录目标主机的响应。通过分析响应判断服务端口是打开还是关闭,搜集目标主机端口提供的服务信息(如:是否可匿名登录)。
2.常用端口扫描
1)全连接扫描(即TCP connect()扫描)
实现原理:扫描主机通过TCP/IP协议的三次握手,与目标主机的指定端口建立一次完整的连接。
如果端口开放,则连接建立,对扫描主机的SYN连接请求,发送ACK/SYN响应,这响应表明,目标端口处于监听(即打开)状态。若端口是关闭的,则目标主机会向扫描主机发送ACK/RST响应。
与目标主机端口的连接需采用connect()函数调用,如果端口处于侦听状态,那么,connect()函数调用成功,否则返回-1,表示端口不可访问,是关闭的。
2)半连接扫描(画图说明)
指只完成了一半TCP连接的扫描。在扫描主机和目标主机的指定端口建立连接时只完成了前两次握手,在第三步时,扫描主机中断了回应,使连接没有完全建立。
8.4 网络扫描器(工具)
8.4.1 扫描器的原理与分类
1、扫描器的原理
扫描器是自动检测本地或远程主机安全弱点的一种程序,它能快速扫描目标存在的漏洞,并提供扫描结果。扫描器向目标计算机不同的端口发送数据包,然后根据对方反馈的信息判断对方的操作系统类型、开放端口及提供的服务等。
扫描器采用基于规则的匹配技术,根据系统漏洞库匹配规则,由程序自动进行系统漏洞扫描的分析工作。
2、扫描器的分类
1)基于浏览器/服务器(B/S)的结构
2)基于客户端/服务器(C/S)的结构
采用插件程序结构,如:著名的Nessus扫描器。这种扫描器功能强大,客户端不须很多设置,只需设置服务器端的扫描参数及收集扫描信息即可。
8.4.2 网络扫描器的组成与发展
1.扫描器的组成
1)漏洞库模块
2)控制台模块
3)引擎模块
4)知识库模块
5)结果存储和生成模块
2.扫描器的发展
1)使用插件技术
2)使用专用脚本语言
3)使用安全评估专家系统
8.4.3 Ping扫描
Ping扫描是指侦测主机IP地址的扫描。按照 TCP/IP协议簇的结构,ping扫描工作在网络层。Ping扫描的目的是确认目标主机的TCP/IP网络是否连通。
ping扫描是基于ICMP协议的,基本原理是:构造一个ICMP包,发送给目标主机,从得到的响应进行判断是否连通。根据构造ICMP包的不同,分为ECH0扫描和Non-ECHO扫描两种。
8.5 常用网络扫描器
扫描器集成了端口扫描和漏洞扫描的功能,主要区别是:主机型的安全扫描器还是网络型的安全扫描器。
当前较成熟的扫描工具有:Nmap、X-Scan、Nessus、ISS等。
8.5.1 X-Scan扫描器
X-Scan扫描器v3.3采用多线程方式,对指定IP地址段(或单机)进行漏洞检测,支持插件。扫描内容包括:远程服务类型、操作系统类型及版本,弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等。
8.5.2 Nmap扫描器
Nmap是一种免费开源的网络扫描工具(Network Napper),最初只支持Linux平台,目前可支持Wondows NT/XP/Vista等系统。
Nmap的基本功能:
1)探测主机是否在线。
2)扫描主机端口,探测所提供的网络服务。
3)推断主机所用的操作系统。
网管使用Nmap了解网络中有哪些主机,以及所运行的服务程序。
Nmap支持的扫描方式:
⑴ TCP connect()端口扫描(-sT参数)
⑵ TCP同步(SYN)端口扫描(-sS参数)
⑶ UDP端口扫描(-sU参数)
⑷ Ping扫描(-sP参数)
其中Ping扫描和TCP Syn扫描最为常用。
TCP connect()扫描与TCP SYN扫描的不同之处:TCP SYN扫描创建的是半打开的连接,TCP SYN扫描发送复位(RST)标记;当远程主机端口是打开的,远程主机用SYN-ACK应答,Nmap发送一个RST;当远程主机端口关闭,应答是RST。而在TCP connect()扫描中,扫描器用系统调用connect() ,建立的是一个完整的TCP连接。
网络与信息安全学习(七)相关推荐
- 网络与信息安全学习(一)
什么是计算机网络? 是指地理上分散的.相互独立的多台计算机通过通信协议和通信线路连接起来,以实现信息交换和资源共享的计算机系统. 什么是网络安全? 凡是涉及到网络系统及信息的机密性.完整性.可用性.可 ...
- 网络与信息安全学习(二)
2.1 密码学原理 2.1.1 基本概念 信 源:消息的发送者 信 宿:消息的目的地(接收者) 明 文:没有加密的消息(P) 密 文:加密过的消息(C) 密 钥:特殊的规则或字符组合(K) 信 道:用 ...
- 网络与信息安全学习(五)
5.1 网络攻击概述 随着互联网及应用的快速发展,以攻击系统为主转变为以攻击网络为主. 分析和掌握网络攻击活动的方式.方法和途径,对加强网络安全.预防网络犯罪有重要意义. 攻击表现:获取用户的账号和密 ...
- 网络与信息安全学习(六)
7.1防火墙概述 7.1.1 防火墙定义与分类 防火墙(Firewall)是目前保护计算机网络的主要安全设备,作为一种隔离控制技术,防火墙在内部网络和不安全的外部网络(如:Internet)之间建立一 ...
- 网络与信息安全学习日记
数据完整性保护之数字签名技术 数字签名先签名后加密与先加密后签名 数字签名是用户对文档的摘要,使用自己的私钥进行加密. 加密之后生成的数字签名,包含对签名者的确认,能够保证数据未被篡改,因为如果篡改了 ...
- 信息安全学习笔记(四)------网络后门与网络隐身
信息安全学习笔记(四)------网络后门与网络隐身 前言: 本节主要介绍木马,后门和清楚攻击痕迹等,这些技术和方法都是黑客攻击常用的技术. 一.木马 概述:比喻埋伏在别人计算机里,偷取对方机密文件的 ...
- 网络黑客攻防学习平台之基础关第七题
网络黑客攻防学习平台之基础关第七题: key究竟在哪里呢? 上一次小明同学轻松找到了key,感觉这么简单的题目多无聊,于是有了找key的加强版,那么key这次会藏在哪里呢? 通关地址:http://l ...
- Docker学习七:使用docker搭建Hadoop集群
本博客简单分享了如何在Docker上搭建Hadoop集群,我的电脑是Ubuntu20,听同学说wsl2有些命令不对,所以建议在虚拟机里按照Ubuntu或者直接安装双系统吧 Docker学习一:Dock ...
- 【无标题】CCSRP是网络与信息安全应急人员认证(现更名为CCSC)
CCSRP是网络与信息安全应急人员认证" 对关键信息基础设施从业人员提出明确的网络安全能力要求,CNCERT升级原有认证体系(CCSRP),推出"网络安全能力认证(CCSC)&qu ...
最新文章
- python代码300行程序_Python:游戏:300行代码实现俄罗斯方块
- win8配置_《FIFA 20》PC配置公布 最低仅需i3+GTX660
- 动态网页技术--JSP(7)
- SpringBoot2 Spring Cloud Config Server和Config Client分布式配置中心使用教程
- 为什么正常单据记账没有数据_正常单据记账中找不到记账单据
- 铁路“探花儿”:每天徒步8公里 一个月穿坏一双鞋
- XVII Open Cup Eastern Grand Prix - J Votter and Paul De Mort
- vue项目将localhost改成自己的ip访问
- 孙武不夜城出新“招” 各路豪杰来热闹
- 汇编指令: JO、JNO、JB、JNB、JE、JNE、JBE、JA、JS、
- 玩客云pc端_玩客云pc端
- IE浏览器官方下载合集
- html css 模仿小米官网搜索框
- 同步线程和异步线程的区别
- 跨考计算机面试英语自我介绍,2019考研复试面试英语自我介绍范文(7)
- 最近在研究oday技术............
- android studio Cannot launch SDK manager ....
- Oracle ASM Active Change Directory
- 魏文王问扁鹊的注释_魏文王问扁鹊中扁鹊说的话给我们的启示是什么
- 【整理】RGB和YUV色彩模式
热门文章
- Windows+Anaconda+tensorflow+keras深度学习框架搭建--reproduced
- xp计算机u盘重装系统,机械师电脑u盘重装系统xp教程
- 猿辅导python编程老师面试_猿辅导辅导老师面试过程➕感受
- MIT-6.s081-CodeWalk-fs.cfile.csysfile.c
- GateWay网关报错:Could not obtain the keys
- 字节跳动校招笔试题汇总
- 一个机器人教小八_哈工程学生研发的水下机器人“敖小八”亮相浙江卫视
- notepad中html自动补齐和标签,在Notepad ++中显示不匹配的html标签(Show unmatched html tags in Notepad++)...
- 多开分身苹果版_苹果手机最新微信分身怎么下载?微信多开地址分享
- 怎么用linux给苹果手机降级,如何将软件包降级