|
|
|
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。
|
|
|
|
入侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统存在的安全问题,并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。从对黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。所以漏洞扫描技术也是以与端口扫描技术同样的思路来开展扫描的。
|
|
|
|
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
|
|
|
|
|
|
基于网络系统漏洞库漏洞扫描大体包括CGI、POP3、FTP、SSH、HTTP等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPEN Relay邮件转发漏洞探测等,这些扫描通过使用插件功能模块技术进行模拟攻击,测试出目标主机的漏洞信息。下面就这两种扫描的实现方法进行讨论。
|
|
|
|
(1)漏洞库的匹配方法。基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后在此基础上构成相应的匹配规则,由扫描程序自动进行漏洞扫描工作。
|
|
|
|
这样,漏洞库信息的完整性和有效性决定了漏洞扫描系统的性能,漏洞库的修订和更新的性能也会影响漏洞扫描系统运行的时间。因此漏洞库的编制不仅要对每个存在安全隐患的网络服务建立对应的漏洞库文件,而且应当能满足前面所提出的性能要求。
|
|
|
|
(2)插件功能模块技术。插件是由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。插件编写规范化后,甚至用户自己都可以用Perl、C或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有很强的扩展性。
|
|
|
|
|
|
现有的安全隐患扫描系统基本上是采用上述的两种方法来完成对漏洞的扫描,但是这两种方法在不同程度上也各有不足之处。
|
|
|
|
(1)系统配置规则库问题。网络系统漏洞库是基于漏洞库的漏洞扫描的灵魂所在,而系统漏洞的确认是以系统配置规则库为基础的。但是这样的系统配置规则库存在其局限性:
|
|
|
|
.如果规则库设计得不准确,预报的准确度就无从谈起;
|
|
|
|
.它是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁却是来自未知的漏洞,这样如果规则库更新不及时,预报准确度也会逐渐降低;
|
|
|
|
.受漏洞库覆盖范围的限制,部分系统漏洞也可能不会触发任何一个规则,从而不被检测到。
|
|
|
|
解决建议:系统配置规则库应能不断地被扩充和修正,这样也是对系统漏洞库的扩充和修正,目前仍需要专家的指导和参与才能够实现。
|
|
|
|
(2)漏洞库信息要求。漏洞库信息是基于网络系统漏洞库的漏洞扫描的主要判断依据。如漏洞库信息不全面或得不到及时更新,不但不能发挥漏洞扫描的作用,还会给系统管理员以错误的引导,导致不能采取有效措施消除安全隐患。
|
|
|
|
解决建议:漏洞库信息不但应具备完整性和有效性,也应具有简易性的特点,这样即使是用户自己也易于对漏洞库进行添加配置,从而实现对漏洞库的即时更新。比如漏洞库在设计时可以基于某种标准来建立,这样便于扫描者的(CVE)理解和信息交互,使漏洞库具有比较强的扩充性,更有利于以后对漏洞库的更新升级。
|
|
|
|
(3)安全评估能力。有些扫描器如著名的ISS Internet Scanner,虽然扫描漏洞的功能强大,但只是简单地把各个扫描测试项的执行结果罗列出来,不能提供详细的描述和分析处理方案;而当前较成熟的扫描器虽然能对扫描出的漏洞进行整理,形成报表,并提供具体的描述和有效的解决方案,但仍缺乏对网络的状况有一个整体的评估,对网络安全也没有系统的解决方案。
|
|
|
|
解决建议:未来的漏洞扫描器不但能扫描安全漏洞,所使用的漏洞扫描技术还应智能化,不但能提高扫描结果的准确性,而且应能协助网络系统管理员评估本网络的安全状况,并给出合适的安全建议。
|
|
|
