网络漏洞扫描系统必要性_网络冲浪

   随着计算机技术、网络技术的飞速发展和普及应用,网络安全已日渐成为人们关注的焦点问题之一。近几年来,安全技术和安全产品已经有了长足的进步,部分技术与产品已日趋成熟。但是,单个安全技术或者安全产品的功能和性能都有其局限性,只能满足系统与网络特定的安全需求。因此,如何有效利用现有的安全技术和安全产品来保障系统与网络的安全已成为当前信息安全领域的研究热点之一。

   首先,让我们来看看现阶段网络上使用最多的安全设备防火墙和入侵检测。为了确保网络的安全使用,研究它们的局限性和脆弱性已经十分必要。

  一、防火墙的局限性和脆弱性

   防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施,但是它也存在局限性。

  1、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据,防火墙无法检查,比如拨号上网。

  2、防火墙不能解决来自内部网络的攻击和安全问题。"外紧内松"是一般局域网络的特点,一道严密防守的防火墙其内部的网络也有可能是一片混乱。如通过社会工程学发送带木马的邮件、带木马的URL等方式,然后由中木马的机器主动对攻击者连接,将瞬间破坏象铁壁一样的防火墙。另外,防火墙内部各主机间的攻击行为,防火墙也只能如旁观者一样冷视而爱莫能助。

  3、防火墙不能防止最新的未设置策略或错误配置引起的安全威胁。防火墙的各种策略,也是在该攻击方式经过专家分析后给出其特征进而设置的。如果世界上新发现某个主机漏洞的cracker把第一个攻击对象选中了您的网络,那么防火墙也没有办法帮到您。

  4、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备,但防火墙本身必须存在于一个安全的地方。

  5、防火墙无法解决TCP/IP等协议的漏洞。防火墙本身就是基于TCP/IP等协议来实现的,就无法解决TCP/IP操作的漏洞。比如利用DOS或DDOS攻击。

  6、防火墙对服务器合法开放的端口的攻击大多无法阻止。例如利用开放了3389端口取得没打过sp补丁的win2k的超级权限、利用asp程序进行脚本攻击等。由于其行为在防火墙一级看来是"合理"和"合法"的,因此就被简单地放行了。

  7、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能,即使集成了第三方的防病毒软件,也没有一种软件可以查杀所有的病毒。

  8、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时,可能会发生数据驱动式的攻击。
  9、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密,防火墙对此是无能为力的。

  10、防火墙不能防止本身安全漏洞的威胁。防火墙保护别人有时却无法保护自己,因为目前还没有厂商绝对保证防火墙不会存在安全漏洞。防火墙也是一个OS,也有着其硬件系统和软件,因此依然有着漏洞和bug。所以其本身也可能受到攻击和出现软/硬件方面的故障。

  二、针对IDS的逃避技术

   防火墙有以上的诸多局限性,同时它又处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。不但可以发现从外部的攻击,也可以发现内部的恶意行为。所以说入侵检测是网络安全的第二道闸门,是防火墙的必要补充,构成完整的网络安全解决方案。然而,由于NIDS本身的局限性,黑帽社团正不断推出躲避或者越过网络入侵检测系统(Network Intrusion Detection System,NIDS)的新技术,胜利的天平正在向黑帽子倾斜。

  1、字符串匹配的弱点

  通过把字符串处理技术和字符替换技术结合到一起,我们可以实现复杂点的字符串伪装。对于WEB请求,我们不必使用命令解释器, 在我们的请求中使用16进制的URL即可,以下的请求可以被目标WEB服务器解释为/etc/passwd:
  GET %65%74%63/%70%61%73%73%77%64
  或者 GET %65%74%63/%70a%73%73%77d
  为了捕获这一个字符串的所有变体,IDS可能需要1000个以上的特征码进行字符串匹配,这还没有考虑UNICODE啊!

  2、会话拼接(session splicing,叫会话分割更合适一些)

  就是把会话数据放到多个数据包中发出:

  +-------------------------+
  | packet number | content |
  |---------------+---------|
  | 1 | G |
  |---------------+---------|
  | 2 | E |
  |---------------+---------|
  | 3 | T |
  |---------------+---------|
  | 4 | 20 |
  |---------------+---------|
  | 5 | / |
  |---------------+---------|
  | 6 | H |
  +---------------+---------+

  通过这种方式,每次只投递几个字节的数据,就可能避开字符串匹配入侵检测系统的监视。

  3、碎片攻击

  所谓碎片覆盖就是发送碎片覆盖先前碎片中的数据。例如:
  碎片1 GET x.idd
  碎片2 a.?(缓冲区溢出数据)
  第二个碎片的第一个字符覆盖第一个碎片最后一个字符,这两个碎片被重组之后就变成了GET x.ida?(缓冲区溢出数据)。

  4、拒绝服务

  还有一种比较野蛮的方法就是拒绝服务,消耗检测设备的处理能力,使真正的攻击逃过检测。塞满硬盘空间,使检测设备无法记录日志。使检测设备产生超出其处理能力的报警。使系统管理人员无法研究所有的报警。挂掉检测设备。对IDS来说,这类IDS无迹可寻,因此非常难以对付。

  三、网络隐患扫描系统浮出水面

   对付破坏系统企图的理想方法当然是建立一个完全安全的没有漏洞的系统,但从实际而言,这根本不可能。美国威斯康星大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷。

   因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。虽然亡羊补牢十分可贵,但是对于"不怕一万,只怕万一"的关键业务来说,未雨绸缪才是理想境界。

   那我们如何选购专业的网络隐患扫描系统呢?一般来讲它必须具备以下几个标准:

  1、是否通过国家的各种认证

  目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。

  2、漏洞数量和升级速度

  漏洞数量是考查漏洞扫描器的重要指标,最新漏洞的数量、漏洞更新和升级的方法以及升级方法是否能够被非专业人员掌握,使得漏洞库升级的频率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次,漏洞数量达1502之多(截止到2004年7月9日)。

  3、产品本身的安全性

  扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统,关闭了不必要的端口和服务,并且传输的数据加密。

  4、是否支持CVE国际标准

  其目的是给所有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协同和加强的安全。

  5、是否支持分布式扫描

  产品具有灵活、携带方便、穿透防火墙的特性。因为现在不再有没有划分VLAN的单一 网络存在;扫描器发出的数据包有些会被路由器、防火墙过滤,降低扫描的准确性。

   在网络内进行防火墙与IDS的设置,并不意味着我们的网络就绝对安全,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。防火墙、防病毒、入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术围绕安全策略有序地组织在一起,相互协同,相互作用,构成一个动态自适应的防范体系。

   最后,要说的依然是那句"世界上没有一种技术能真正保证绝对的安全。

   因为安全问题,是从设备到人、从服务器上的每个服务程序到防火墙、IDS等安全产品的综合问题。任何一个环节的工作,都只是迈向安全的步骤之一。

时间: 2024-09-20 20:52:49

网络漏洞扫描系统必要性_网络冲浪的相关文章

本地攻击者利用FreeBSD4.3设计漏洞取得系统特权_网络冲浪

发现 FreeBSD 4.3 存在一个设计上的漏洞,它允许用户在其它进程中插入 signal handlers.问题出在 rfork(RFPROC|RFSIGSHARE) ,如果子进程 exec() 一个 setuid 程序,然后父进程设置一个 signal handlers,这个 signal handlers 将会在子进程中被复制.发送一个信号给子进程将能导致 signal handlers 被执行. 利用此漏洞,本地攻击者能取得 root 权限. 以下代码仅仅用来测试和研究这个漏洞,如果您

基于云技术的分布式漏洞扫描系统

基于云技术的分布式漏洞扫描系统 洪宇轩  双锴 随着互联网的迅猛发展,网络安全问题和计算机犯罪也呈现愈来愈严峻的趋势.据统计表明,绝大多数的网络安全问题都是由系统或软件漏洞所引起.因此,如果能够定期对系或软件可能出现的漏洞进行检测并加以防范,将有效降低其安全威胁.本文将云计算技术与传统漏洞扫描技术相结合,设计了一套分布式漏洞扫描系统,能够以软件应用的方式为用户提供安全漏洞扫描服务. 基于云技术的分布式漏洞扫描系统

角逐网络江湖—黑客兵器谱排名_网络冲浪

纵横于黑客江湖,没几件称心兵器怎能立足?本栏目将不定期刊出黑客常用的重量级兵器,希望对读者朋友了解.学习网络安全技术有所指导. No.1 懂得用刀杀人并不困难,要懂得如何用刀救人,却是件困难的事. 兵器名称:X-Scan 杀伤指数:★★★★☆ 独门绝技:采用了多线程方式对指定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式.扫描内容包括:远程服务类型.操作系统类型及版本,各种弱口令漏洞.后门.应用服务漏洞.网络设备漏洞.拒绝服务漏洞等二十几个大类,支持在线升级,是国内

打开网络连接就死机_网络冲浪

故障现象 笔者的一位同事将自用的笔记本电脑带回公司,准备连上公司的局域网,结果不知什么原因,没有连上局域网,笔记本电脑的开机速度却变慢了.现在这台笔记本电脑的问题就是感觉开机和运行的速度很慢,而且一打开网络连接就死机.但是通过"Windows任务管理器"查看,发现CPU的使用率只有2%左右,很正常,也没有发现有比较大的程序在系统后台运行. 诊断过程 笔者将该笔记本电脑接上电源.开机.果然觉得速度慢得简直让人难以忍受,本来启动飞快的Windows 2000 Professonal却像是安

如何解决局域网中网络邻居访问响应慢_网络冲浪

你碰到这样的情况吗? 在Windows98和Windows95的对等网中,通过网上邻居访问其它计算机,有时要刷新好多次才能连接得上. 在Windows 2000 Server或者Win dows 2000 Advanced Server中访问其它的计算机,特别是访问Windows 98时很慢,要等30到50秒钟. 上Internet时就够慢了,现在连局域网也这样慢,怎么办?下面我们就和笔者一起来解决局域网"慢"的问题. 网络中的问题主要出在硬件和软件两个方面,局域网中"慢&q

网络防火墙的设置技巧_网络冲浪

如今网络防火墙已经成为了各位网友上网,但是又有对少人能让他的网络防火墙真正发挥他的作用呢? 许多人对于网络防火墙的功能不加以设置,对网络防火墙的规则不加以设置--这样,网络防火墙作用就会大大减弱-- 网络防火墙的默认设置一般都只能是普遍的设置,也就是说这样的设置要大致适合成千上百用户.试问,这样的设置就一定会100%适合你吗?肯定不可能.下面,我就以我自己实践的经验,谈谈我自己的看法. 功能设置篇 功能设置属于外部设置.为什么这样说呢?主要因为,这些设置不会改变规则中要求拦截和放行对象. 对于我

2007年网络收藏夹网址收集_网络冲浪

百度搜藏http://cang.baidu.com/http://cang.baidu.com/egotong/ 雅虎收藏http://myweb.cn.yahoo.com/http://myweb.cn.yahoo.com/userurls.html?ou=fav_ramble 网络抽屉http://www.chouti.com/http://www.chouti.com/cnnic 纯我网http://www.chunw.com/http://www.chunw.com/my/?u=ramb

感受狂飙:网络加速的好帮手_网络冲浪

网络在某种程度上改变了我们的生活方式,足不出户也能了解到世界的瞬息万变.虽然目前ADSL的网速比"56K小猫"时代快了许多,但网速能不能在现有的基础上再提高一些,以满足网民有限的投入获取无限网速的梦想呢?回答是肯定的,今天就给大家介绍两款用于网络加速的软件. 一.网络狂飙(Netspeeder) 网络狂飙是大家非常熟悉的一款网络加速软件,从1.x版本,到现在的3K版本,软件是做得越来越好了.最新版3.2不仅软件的界面漂亮,它还能对各种类型的网络连接从根本上提高下载速度,而且也新增了其他

用XP系统自带网络诊断程序解决网络故障

在互联网高速发展的今天,网络已成为我们日常生活不可缺少的一部分.当你在畅游互联网同时,你的计算机不可避免地会出现这样那样的网络故障,上不了网,怎样来查找这些网络故障呢?对于初学者来说确实是一个很难的问题,其实也并不是大家想像的这么难,因为Windows XP系统就提供了一个非常方便实用的网络诊断工具,它可以允许你进行多种测试,收集不同的信息,根据你选择的扫描选项,网络诊断扫描系统来查看你是否有网络连接,以及与网络有关的程序和服务是否在运行.它同时也收集关于你的计算机的基本信息. 运行过程如下: