漏洞扫描与防护

本书共分为9章。首先介绍了漏洞的分类、特征和发展等基本知识，漏洞扫描的技术和流程；然后分析了网络设备的常见漏洞及防范措施，操作系统的常见漏洞及防范措施，数据库的常见漏洞及防范措施，Web系统的常见漏洞及防范措施，用户名及口令猜解的类型与防范措施等方面的内容；*后描述软件配置检查的方法和标准，并结合详细案例对需求和解决方案进行详细分析解读，帮助读者更透彻地掌握漏洞扫描和防护。 

本书共分为9章。首先介绍漏洞的分类、特征和发展等基本知识，漏洞扫描的技术和流程；然后分析网络设备的常见漏洞及防范措施，操作系统的常见漏洞及防范措施，数据库的常见漏洞及防范措施，Web系统的常见漏洞及防范措施，用户名及口令猜解的类型与防范措施等方面的内容；*后描述软件配置检查的方法和标准，并结合详细案例对需求和解决方案进行详细分析解读，帮助读者更透彻地掌握漏洞扫描和防护。
本书每章后均附有思考题总结该章知识点，以便为读者的进一步阅读提供思路。
本书由360企业安全集团针对高校网络空间安全专业的教学规划组织编写，既可作为信息安全、网络空间安全专业及网络工程、计算机技术应用型人才培养与认证体系中的教材，也可作为负责网络安全运维的网络管理人员和对网络空间安全感兴趣的读者的基础读物。

目录

第1章漏洞的基本知识1
1.1漏洞概述1
1.1.1漏洞的定义1
1.1.2漏洞的成因2
1.2漏洞的特征与危害2
1.2.1漏洞的特征2
1.2.2漏洞的危害3
1.3漏洞的分类方式4
1.3.1漏洞的作用方式4
1.3.2漏洞的普遍性5
1.4常见的漏洞类型5
1.4.1操作系统漏洞5
1.4.2数据库漏洞6
1.4.3网络设备漏洞7
1.4.4Web漏洞7
1.4.5弱口令8
1.5漏洞的发展现状和趋势9
1.5.1漏洞安全事件9
1.5.2漏洞的发展现状10
1.5.3漏洞的发展趋势13
1.6漏洞外延应用14
1.6.1安全服务14
1.6.2补天漏洞响应平台14
思考题15第2章安全漏洞扫描系统16
2.1漏洞扫描概述16
2.1.1漏洞扫描的定义16漏洞扫描与防护目录2.1.2漏洞扫描的原理16
2.1.3漏洞扫描器17
2.2漏洞扫描的关键技术18
2.3漏洞扫描的策略及流程20
2.3.1漏洞扫描的策略20
2.3.2漏洞扫描的流程23
2.4漏洞扫描系统功能27
2.4.1漏洞扫描系统的背景27
2.4.2漏洞扫描系统的应用场景29
2.4.3漏洞扫描系统的部署方案29
2.5安全基线概述30
2.5.1安全基线的概念30
2.5.2安全基线的检测31
思考题32第3章网络设备漏洞及其防范措施33
3.1网络设备常见漏洞33
3.1.1交换机漏洞34
3.1.2路由器漏洞36
3.1.3防火墙漏洞36
3.2网络设备漏洞扫描37
3.2.1扫描器的重要性37
3.2.2常见的漏洞扫描器类型37
3.2.3商业扫描器的特点38
3.2.4常见的扫描技术39
3.3网络设备漏洞防护43
3.3.1硬件本身的防护措施43
3.3.2技术角度的防护措施46
3.3.3管理角度的防护措施47
思考题48第4章操作系统漏洞及其防范措施49
4.1操作系统的基本概念49
4.2操作系统的常见漏洞49
4.2.1Windows系统的常见漏洞49
4.2.2其他常见的操作系统漏洞51
4.3操作系统漏洞的发展趋势54
4.4操作系统安全扫描57
4.5操作系统的漏洞防护60
4.5.1Windows系统的漏洞防护60
4.5.2其他常见系统的漏洞防护62
思考题65第5章数据库系统漏洞及其防范措施66
5.1数据库常见漏洞66
5.1.1数据库漏洞类型66
5.1.2数据库漏洞的发展趋势68
5.2数据库漏洞扫描71
5.2.1数据库漏洞的成因71
5.2.2数据库漏洞扫描任务72
5.2.3数据库漏洞扫描的技术路线73
5.2.4数据库漏洞扫描的核心技术74
5.3数据库漏洞防护74
5.3.1数据库漏洞的处理74
5.3.2数据库安全防护体系75
思考题76第6章Web系统漏洞及其防范措施77
6.1HTTP基础知识77
6.1.1HTTP基本概念77
6.1.2HTTP响应78
6.1.3HTTP头信息78
6.2Web安全漏洞的发展概况80
6.3常见的Web安全漏洞80
6.4Web漏洞扫描82
6.4.1Web漏洞扫描方式82
6.4.2常见的Web漏洞扫描方法83
6.5Web漏洞处理86
6.6Web漏洞的发展趋势88
6.7Web指纹识别技术89
6.8Web认证安全92
6.8.1限制访问92
6.8.2认证的种类93
6.8.3密码认证的设计93
6.8.4封锁账户94
6.8.5保护密码94
6.8.6给用户显示错误信息的技巧94
6.8.7认证时记录日志的技巧95
6.8.8邮件认证95
6.8.9手机号认证95
6.9Web会话管理96
6.9.1生成Session的方法97
6.9.2传输Session97
6.9.3HTTPS保护97
6.9.4何时生成SessionID97
6.9.5CSRF对策98
6.9.6直接访问的防范与对策98
6.10Web安全增强技术99
思考题100第7章用户名及口令猜解101
7.1常见用户名和弱口令概述101
7.1.1常见用户名和弱口令的概念101
7.1.2弱口令的危害102
7.2常见的弱口令类型102
7.3弱口令安全防护104
7.3.1口令字典104
7.3.2弱口令猜解105
思考题108第8章软件配置检查109
8.1配置检查109
8.1.1配置不当的危害109
8.1.2配置核查至关重要110
8.1.3安全基线及配置核查的技术与方法111
8.2安全配置标准112
8.2.1中华人民共和国工业和信息化部的基线配置核查标准112
8.2.2中国移动配置核查标准114
8.2.3公安部的配置核查标准116
8.2.4中国电信安全配置核查标准116
思考题118第9章典型案例119
9.1互联网企业漏洞扫描解决方案119
9.1.1应用背景119
9.1.2企业需求120
9.1.3解决方案120
9.1.4用户价值121
思考题123英文缩略语124参考文献127

网络空间安全重点规划丛书编审委员会顾问委员会主任： 沈昌祥（中国工程院院士）
特别顾问： 姚期智（美国国家科学院院士、美国人文及科学院院士、中国科学院院士、“图灵奖”获得者）
何德全（中国工程院院士）蔡吉人（中国工程院院士）
方滨兴（中国工程院院士）吴建平（中国工程院院士）
王小云（中国科学院院士）
主任： 封化民
副主任： 韩臻李建华张焕国冯登国
委员： （按姓氏拼音为序）
蔡晶晶曹珍富陈克非陈兴蜀杜瑞颖杜跃进
段海新范红高岭宫力谷大武何大可
侯整风胡爱群胡道元黄继武黄刘生荆继武
寇卫东来学嘉李晖刘建伟刘建亚马建峰
毛文波潘柱廷裴定一钱德沛秦玉海秦志光
卿斯汉仇保利任奎石文昌汪烈军王怀民
王劲松王军王丽娜王美琴王清贤王新梅
王育民吴晓平吴云坤徐明许进徐文渊
严明杨波杨庚杨义先俞能海张功萱
张红旗张宏莉张敏情张玉清郑东周福才
左英男
丛书策划： 张民

出版说明
21世纪是信息时代，信息已成为社会发展的重要战略资源，社会的信息化已成为当今世界发展的潮流和核心，而信息安全在信息社会中将扮演极为重要的角色，它会直接关系到国家安全、企业经营和人们的日常生活。 随着信息安全产业的快速发展，全球对信息安全人才的需求量不断增加，但我国目前信息安全人才极度匮乏，远远不能满足金融、商业、公安、军事和政府等部门的需求。要解决供需矛盾，必须加快信息安全人才的培养，以满足社会对信息安全人才的需求。为此，教育部继2001年批准在武汉大学开设信息安全本科专业之后，又批准了多所高等院校设立信息安全本科专业，而且许多高校和科研院所已设立了信息安全方向的具有硕士和博士学位授予权的学科点。
信息安全是计算机、通信、物理、数学等领域的交叉学科，对于这一新兴学科的培养模式和课程设置，各高校普遍缺乏经验，因此中国计算机学会教育专业委员会和清华大学出版社联合主办了“信息安全专业教育教学研讨会”等一系列研讨活动，并成立了“高等院校信息安全专业系列教材”编审委员会，由我国信息安全领域著名专家肖国镇教授担任编委会主任，指导“高等院校信息安全专业系列教材”的编写工作。编委会本着研究先行的指导原则，认真研讨国内外高等院校信息安全专业的教学体系和课程设置，进行了大量前瞻性的研究工作，而且这种研究工作将随着我国信息安全专业的发展不断深入。系列教材的作者都是既在本专业领域有深厚的学术造诣、又在教学第一线有丰富的教学经验的学者、专家。
该系列教材是我国第一套专门针对信息安全专业的教材，其特点是：
① 体系完整、结构合理、内容先进。
② 适应面广：能够满足信息安全、计算机、通信工程等相关专业对信息安全领域课程的教材要求。
③ 立体配套：除主教材外，还配有多媒体电子教案、习题与实验指导等。
④ 版本更新及时，紧跟科学技术的新发展。
在全力做好本版教材，满足学生用书的基础上，还经由专家的推荐和审定，遴选了一批国外信息安全领域优秀的教材加入到系列教材中，以进一步满足大家对外版书的需求。“高等院校信息安全专业系列教材”已于2006年年初正式列入普通高等教育“十一五”国家级教材规划。
2007年6月，教育部高等学校信息安全类专业教学指导委员会成立大会暨第一次会议在北京胜利召开。本次会议由教育部高等学校信息安全类专业教学指导委员会主任单位北京工业大学和北京电子科技学院主办，清华大学出版社协办。教育部高等学校信息安全类专业教学指导委员会的成立对我国信息安全专业的发展起到重要的指导和推动作用。2006年教育部给武汉大学下达了“信息安全专业指导性专业规范研制”的教学科研项目。2007年起该项目由教育部高等学校信息安全类专业教学指导委员会组织实施。在高教司和教指委的指导下，项目组团结一致，努力工作，克服困难，历时5年，制定出我国第一个信息安全专业指导性专业规范，于2012年年底通过经教育部高等教育司理工科教育处授权组织的专家组评审，并且已经得到武汉大学等许多高校的实际使用。2013年，新一届“教育部高等学校信息安全专业教学指导委员会”成立。经组织审查和研究决定，2014年以“教育部高等学校信息安全专业教学指导委员会”的名义正式发布《高等学校信息安全专业指导性专业规范》（由清华大学出版社正式出版）。
漏洞扫描与防护出版说明2015年6月，国务院学位委员会、教育部出台增设“网络空间安全”为一级学科的决定，将高校培养网络空间安全人才提到新的高度。2016年6月，中央网络安全和信息化领导小组办公室（下文简称中央网信办）、国家发展和改革委员会、教育部、科学技术部、工业和信息化部及人力资源和社会保障部六大部门联合发布《关于加强网络安全学科建设和人才培养的意见》（中网办发文[2016]4号）。为贯彻落实《关于加强网络安全学科建设和人才培养的意见》，进一步深化高等教育教学改革，促进网络安全学科专业建设和人才培养，促进网络空间安全相关核心课程和教材建设，在教育部高等学校信息安全专业教学指导委员会和中央网信办资助的网络空间安全教材建设课题组的指导下，启动了“网络空间安全重点规划丛书”的工作，由教育部高等学校信息安全专业教学指导委员会秘书长封化民校长担任编委会主任。本规划丛书基于“高等院校信息安全专业系列教材”坚实的工作基础和成果、阵容强大的编审委员会和优秀的作者队伍，目前已经有多本图书获得教育部和中央网信办等机构评选的“普通高等教育本科国家级规划教材”“普通高等教育精品教材”“中国大学出版社图书奖”和“国家网络安全优秀教材奖”等多个奖项。
“网络空间安全重点规划丛书”将根据《高等学校信息安全专业指导性专业规范》（及后续版本）和相关教材建设课题组的研究成果不断更新和扩展，进一步体现科学性、系统性和新颖性，及时反映教学改革和课程建设的新成果，并随着我国网络空间安全学科的发展不断完善，力争为我国网络空间安全相关学科专业的本科和研究生教材建设、学术出版与人才培养做出更大的贡献。
我们的Email地址是： [email protected]，联系人： 张民。

“网络空间安全重点规划丛书”编审委员会

前言
没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。
为了更多、更快、更好地培养网络安全人才，如今，许多高校都在努力培养网络安全人才，都在加大投入，并聘请优秀老师，招收优秀学生，建设一流的网络空间安全专业。
网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是培养网络空间安全专业人才的关键，但这是一项十分艰巨的任务。原因有二：其一，网络空间安全的涉及面非常广，包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库、硬件等多门学科，因此，其知识体系庞杂、难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。
“漏洞扫描与防护”是高校网络空间安全和信息安全专业的基础课程，通过对漏洞各知识面的介绍帮助读者掌握漏洞扫描与防护。本书涉及的知识面宽，共分为9章。
第1章介绍漏洞基本知识，第2章介绍安全漏洞扫描系统，第3章介绍网络设备漏洞及其防范措施，第4章介绍操作系统漏洞及其防范措施，第5章介绍数据库系统漏洞及其防范措施，第6章介绍Web系统漏洞及其防范措施，第7章介绍用户名及口令猜解，第8章介绍软件配置检查，第9章介绍典型案例。
本书既适合作为高校网络空间安全、信息安全等相关专业课程的教材和参考资料，也适合网络安全研究人员作为网络空间安全的入门基础读物。
本书编写过程中得到360企业安全集团的王嘉、董少飞、任涛、裴智勇、翟胜军、北京邮电大学雷敏等专家学者的鼎力支持，在此对他们的工作表示衷心感谢！
由于作者水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

作者2018年12月

第3章第3章网络设备漏洞及其
防范措施

在移动互联和大数据时代谈论网络漏洞，感知网络漏洞态势是最基本、最基础的工作。网络设备作为互联网的关键网元，其态势从微观的角度反映了整体的网络漏洞态势。没有网络设备的漏洞就没有网络漏洞。网络设备的漏洞及其防范措施的重要性近年来不断凸显出来。3.13.1网络设备常见漏洞网络设备自身的安全性是网络整体安全中极其重要的一环。网络设备漏洞按设备类型可以分为: 防火墙漏洞、交换机漏洞、路由器漏洞、网关设备漏洞、手机设备漏洞和网络摄像头漏洞。图31是来自IOT设备漏洞情况统计简报(CNVD)的漏洞按设备类型分布图。
图31漏洞按设备类型分布图
常见的网络设备漏洞有路由器漏洞、交换机漏洞、防火墙漏洞，如图32所示。
图32常见的网络设备漏洞
网络设备的主要作用是进行数据的转发，如果这些设备出现了漏洞，轻则影响网络的正常运转，严重时会使流经网络设备的信息遭到窃听、篡改等，造成极大的网络安全隐患。3.1.1交换机漏洞
漏洞扫描与防护第3章网络设备漏洞及其防范措施交换机漏洞主要包括VLAN跳跃漏洞、生成树漏洞、MAC表洪水漏洞、ARP漏洞、VTP漏洞。
1. VLAN跳跃漏洞
虚拟局域网(VLAN) 是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器完成的。VLAN常常用于为网络提供额外的安全。因为一个VLAN上的计算机无法与没有明确访问权的另一个VLAN上的用户进行对话，所以VLAN本身不足以保护环境的安全。恶意黑客正是利用VLAN跳跃漏洞，即使未经授权，也可以从一个VLAN跳到另一个VLAN。具体而言，VLAN中两个相互连接的交换机，通过动态中继协议(DTP)进行协商，确定它们要不要成为IEEE 802.1q中继，协商过程是通过检查端口的配置状态完成的。VLAN跳跃漏洞正是利用了DTP。在VLAN跳跃漏洞中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布它想成为中继; 真实的交换机收到这个DTP消息后，以为它应当启用IEEE 802.1q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会发送到黑客的计算机上。
中继建立起来后，黑客可以继续探测信息流，也可以通过给帧添加IEEE 802.1q信息，指定想把攻击流量发送给哪个VLAN。
2. 生成树漏洞
生成树协议(STP)通过生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作，使用STP的所有交换机都通过网桥协议数据单元(BPDU)共享信息，BPDU每两秒就发送一次。交换机发送BPDU时，里面含有名为网桥ID的标号，这个网桥ID结合了可配置的优先数(默认值是32768)和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥(Root Bridge)。
使用生成树协议可以防止冗余的交换环境出现回路。要是网络有回路，就会变得拥塞不堪，从而出现广播风暴，引起MAC表不一致，最终使网络崩溃。
恶意黑客利用STP的工作方式发动DDoS攻击。如果恶意黑客把一台计算机连接到不止一个交换机，然后发送精心设计具有较低ID的BPDU给网桥，就可以欺骗交换机，使其以为这是根网桥，这会导致STP重新收敛(reconverge)，从而引起回路，导致网络崩溃。
3. MAC表洪水漏洞
交换机的工作方式是: 帧在进入交换机时记录下MAC源地址，这个MAC地址与帧进入的那个端口相关，因此以后通往该MAC地址的信息流将只通过该端口发送出去。这可以提高带宽利用率，因为信息流不用从所有端口发送出去，只从需要接收的那些端口发送出去。
MAC地址存储在内容可寻址存储器(CAM)里，CAM是一个128KB大小的保留内存，专门用来存储MAC地址，以便快速查询。如果恶意黑客向CAM发送大批数据包，就会导致交换机开始向各个地方发送大批信息流，从而埋下隐患，甚至导致交换机在拒绝服务的漏洞中崩溃。
4. ARP漏洞
ARP(address resolution protocol)欺骗是一种用于会话劫持漏洞中的常见手法。地址解析协议(ARP)利用第2层物理MAC地址映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP请求通常以广播形式发送，以便所有主机都能收到。
恶意黑客可以发送被欺骗的ARP回复，获取发往另一个主机的信息流，即存在一个ARP欺骗过程，其中ARP请求以广播帧的形式发送，以获取合法用户的MAC地址。假设黑客Jimmy也在网络上，试图获取发送到这个合法用户的信息流，黑客Jimmy欺骗ARP响应，声称自己是IP地址为10.0.0.55(MAC地址为051C3200A199)的主人，合法用户也会用相同的MAC地址进行响应。结果是，交换机在MAC地址表中有了与该MAC地址相关的两个端口，发往这个MAC地址的所有帧都被同时发送到合法用户和黑客Jimmy。
5. VTP漏洞
VLAN中继协议(VLAN trunk protocol，VTP)是一种管理协议，它可以减少交换环境中的配置数量。就VTP而言，交换机可以是VTP服务器、VTP客户端或者VTP透明交换机，这里着重讨论VTP服务器和VTP客户端。用户每次对工作于VTP服务器模式下的交换机进行配置改动时，无论是添加、修改，还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号大于目前的版本号后，就知道与VTP服务器进行同步。
恶意黑客可以让VTP为己所用，移除网络上的所有VLAN(除了默认的VLAN外)，这样就可以进入其他每个用户所在的同一个VLAN上。不过，用户可能仍在不同的网络上，所以恶意黑客需要改动其IP地址，才能进入位于同一个网络上其想要攻击的主机。
恶意黑客只要连接到交换机，并在计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于当前的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除出去。
3.1.2路由器漏洞
截止到2016年底，包括DLink、TPLink、Cisco、斐讯、iKuai等一众国内外知名品牌都相继爆出了高危漏洞，影响上万用户的网络安全。图33所示为来自瑞星2016年中国信息安全报告的根据exploitsdb披露的各品牌路由器漏洞比例。
路由器的漏洞类型包括默认口令、固件漏洞、路由后门等一系列安全问题。通过对相关路由器事件进行统计，在各种攻击方式中弱口令占比例最多。根据CNVD白帽子、补天平台以及漏洞盒子等来源的汇总信息，路由器漏洞类型比例如图34所示。
图332016年各品牌路由器漏洞比例
图34路由器漏洞类型比例

3.1.3防火墙漏洞
网络攻击者如果获得路由器或交换机的管理访问权限，将会产生灾难性后果。而如果攻击者获得了防火墙管理权限，后果将更加严重。对于任何企业而言，防火墙都是主要的防御手段，如果攻击者获取了关闭防火墙的权限或者甚至能够操纵它允许某些流量出入，结果可能是毁灭性的。
因此，各种防火墙供应商会不定期地发布已知漏洞的修复补丁，而对于未知漏洞，可能无法及时提供修复补丁。例如，思科公司投入了大量资金维护其产品的安全性，在Security Advisories、Response 和 Notices网站提供了相关数据库，让用户充分了解所有思科产品(包括防火墙)的最新安全问题，并且发布修复补丁。但很多企业用户没有安排专门的人员监控防火墙供应商最新发布的漏洞信息及补丁，这样的做法存在严重问题。因为负责管理企业防火墙基础设施的人员必须尽一切努力了解最新修复补丁、漏洞监控和其他可能产生的问题。根据数据库防火墙技术市场调研报告，2016年各公司防火墙漏洞报告如图35所示。可以看出，在防火墙市场中，Oracle公司发布的防火墙漏洞报告占比较大，为提高防火墙的安全性，各防火墙供应商应重视最新漏洞信息以及补丁的发布。
图352016年各公司防火墙漏洞报告
3.23.2网络设备漏洞扫描如何避免网络漏洞的产生，保障自身网络的安全，其中一个主要的方法就是自查自纠，在这个过程中，对网络设备漏洞进行扫描成为一种较为快捷、直观、简单的方法。扫描技术基于TCP/IP，对各种网络服务，无论是主机，或者防火墙、路由器、交换机漏洞都适用。同时，扫描可以确认各种配置的正确性，避免遭受不必要的攻击。网络扫描是一把双刃剑，对于安全管理员来说，可用来确保自己系统的安全性，也能被黑客用来查找系统的入侵点。目前，扫描技术已经非常成熟，已经出现了大量应用于商业、非商业的扫描器。
3.2.1扫描器的重要性
(1) 扫描器能够暴露网络上潜在的脆弱性。
(2) 无论扫描器被管理员利用，或者被黑客利用，都有助于加强系统的安全性。
(3) 能够使得漏洞被及早发现。
(4) 扫描器除了能扫描端口，往往还能够发现系统存活情况，以及哪些服务在运行。
(5) 用已知的漏洞测试这些系统。
(6) 能够完成操作系统辨识、应用系统识别等任务。
3.2.2常见的漏洞扫描器类型
漏洞扫描器是一种能自动检测远程或本地主机系统在安全性方面弱点和隐患的程序。常见的漏洞扫描器类型根据工作模式不同，可以分为主机漏洞扫描器和网络漏洞扫描器两大类。主机漏洞扫描器又称本地扫描器，它与待检查系统运行于同一结点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的配置错误。网络漏洞扫描器又称远程扫描器，它和待检查系统运行于不同结点，通过网络远程探测目标结点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。根据扫描功能不同，可以将常见的扫描器分为如下几种类型。
1. 端口扫描器
Nmap是最常用的扫描工具，很多人认为Nmap仅用于扫描端口，但Nmap 的功能非常强大，包括操作系统的服务判定、操作系统指纹的判定、防火墙及IDS的规避技术。Nmap可以完成大范围的早期评估工作。实际上，Nmap的端口扫描的不管是主机开放端口、服务，还是操作系统版本，它的大部分依据都来自端口扫描的结果，根据其结果去判定其他信息。
2. 漏洞扫描器
以nessus为免费产品代表，nessus的安装应用程序、脚本语言都是公开的，但从版本3开始它就转向一个私有的授权协议。其扫描引擎仍然免费，不过对其支持和最新的漏洞定义要收费。nessus目前的最新版本是nessus 7.2。该扫描器不仅可以检查系统漏洞，还可以检查一部分配置失误。
3. Web应用扫描器
这类扫描器相对而言，功能比较专一，仅用于评估网站的安全性，对于系统、网络的基础情况一般不关注，关注的焦点主要是Web应用。常见的有appscan、WEBinspect，主要检测Web应用数据提交、信息泄漏等问题。
3.2.3商业扫描器的特点
大部分商业扫描器都工作在黑盒模式，这种扫描器的特点如下。
1. 精确扫描漏洞
在商业化应用中，对误报、漏报的容忍程度比较低。但目前的情况，误报和漏报还是无法规避的。具体扫描的信息有如下3个方面。
状态扫描: 状态扫描是对目标主机开放的服务、通信的情况、OS版本和应用服务的版本进行扫描。
漏洞扫描: 漏洞扫描是通过扫描验证当前系统是否存在可利用、不可利用的漏洞，如果可利用，那么通过使用一些扫描器就可以进行写入文件或者拿到shell。
弱口令扫描: 弱口令就是使用的密码较简单。弱口令扫描主要使用密码字典和穷举对开放的服务进行口令破解。
2. 修补联动
商用扫描器在漏洞精确扫描之后，会给出一些建议和技术手段屏蔽漏洞。最初提供的是一些修补建议，这种方式对专业技术人员来说有相当价值，但对于一些技术较薄弱或者比较懒惰的用户，修补建议的作用就被忽略了。在新一代的商用扫描器中，提出了修补联动的概念，通过发送注册表提示用户，用户双击注册表，就可以导入需要修改、升级补丁的信息，并且还可以和WSUS进行联动，通过该方式基本实现自动化的修补。
3.2.4常见的扫描技术
为了描述常见的扫描技术，以Nmap工作流程为例，整个扫描流程如图36所示。
(1) 存活性扫描: 指大规模评估一个较大网络的存活状态。例如，跨地域、跨系统的大型企业。但是，被扫描主机可能通过一些欺骗性措施逃过存活性扫描的判定，如使用防火墙阻塞ICMP数据包。
(2) 端口扫描: 针对主机判断端口的开放和关闭情况，不管其是不是存活。端口扫描也成为存活性扫描的一个有益补充，如果主机存活，必然要提供相应的状态，因此无法隐藏其存活情况。
(3) 服务识别: 通过端口扫描的结果，可以判断出主机提供的服务及其版本。
(4) 操作系统识别: 利用服务的识别，可以判断出操作系统的类型及其版本。
根据以上扫描流程，具体介绍以下5种扫描技术。
图36扫描流程图
图37规避扫描

1. 主机存活扫描技术
主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段，其效果直接影响到后续的扫描。ping就是最原始的主机存活扫描技术，利用ICMP的echo字段，如果发出的请求收到回应，则代表主机存活。
2. 规避技术
为了达到规避防火墙和入侵检测设备的目的，利用ICMP协议提供网络间传送错误信息的功能，使其成为非常规扫描手段。其主要原理是利用被探测主机产生的ICMP错误报文进行复杂的主机探测。
常用的规避技术大致分为4类，如图37所示。
异常IP包头: 向目标主机发送包头错误的IP包，目标主机或过滤设备会反馈ICMP Parameter Problem Error信息。常见的伪造错误字段为Header Length和IP Options。不同厂家的路由器和操作系统对这些错误的处理方式不同，返回的结果也不同。
在IP头中设置无效的字段值: 向目标主机发送的IP包中填充错误的字段值，目标主机或过滤设备会反馈ICMP Destination Unreachable信息。这种方法同样可以探测目标主机和网络设备。
通过超长包探测内部路由器: 若构造的数据包长度超过目标系统所在路由器的PMTU且设置禁止分片标志，则该路由器会反馈Fragmentation Needed and Don’t Fragment Bit was Set差错报文。
反向映射探测: 用于探测被过滤设备或防火墙保护的网络和主机。具体运行机制是构造可能的内部IP地址列表，并向这些地址发送数据包。当对方路由器接收到这些数据包时，会进行IP识别并安排好路由，对不在其服务范围的IP包发送ICMP Host Unreachable或ICMP Time Exceeded 错误报文，没有接收到相应错误报文的IP地址则被认为在该网络中。
3. 端口扫描技术
完成主机存活性判断之后，就应该判定主机开放信道的状态，端口就是在主机上面开放的信道，端口总数是65535，其中0～1024为知名端口。端口实际上就是从网络层映射到具体进程的通道。通过这个关系就可以掌握什么样的进程使用了什么样的通道，在这个过程中，可以通过进程取得的信息为查找后门、了解系统状态提供有力的支撑。常见的端口扫描技术如图38所示。
图38常见的端口扫描技术
1) TCP扫描
利用三次握手过程与目标主机建立完整或不完整的TCP连接。
在TCP的报头里有6个连接标记，分别是URG、ACK、PSH、RST、SYN、FIN。通过这些连接标记不同的组合方式，可以获得不同的返回报文。例如，发送一个SYN置位的报文，如果SYN置位瞄准的端口是开放的，SYN置位的报文到达的端口开放的时候，就会返回SYN ACK，代表其能够提供相应的服务。收到SYN ACK后，返回给对方一个ACK。这个过程就是著名的三次握手。这种扫描的速度和精度都是令人满意的。
Reverseident扫描: 这种技术利用了ident协议(RFC1413)，TCP端口为113，这是很多主机都会运行的协议，用于鉴别TCP连接的用户。
ident的操作原理是查找特定TCP/IP连接并返回拥有此连接进程的用户名。它也可以返回主机的其他信息，但这种扫描方式只能在TCP全连接之后才有效，并且实际上很多主机都会关闭Ident服务。
TCPSYN扫描: 向目标主机的特定端口发送一个SYN包，如果端口没开放，就不会返回SYN ACK，这时会给你一个RST，停止建立连接。由于连接没有完全建立，所以称为半开放扫描。但由于SYN flood作为一种DDoS攻击手段被大量采用，因此很多防火墙都会对SYN报文进行过滤，所以这种方法并不总是有效的。
其他还有FIN、NULL、Xmas等扫描方式。
2) UDP扫描
由于现在防火墙设备的流行，TCP端口的管理状态越来越严格，不会轻易开放，并且通信监视严格。为了避免这种监视，达到评估的目的，就出现了秘密扫描。这种扫描方式的特点是利用UDP端口关闭时返回的ICMP信息，不包含标准的TCP 三次握手协议的任何部分，隐蔽性好。
但是，UDP扫描使用的数据包在通过网络时容易被丢弃，从而产生错误的探测信息，并且该方式具有明显的缺陷，即速度慢、精度低。UDP的扫描方法比较单一，基础原理是: 当发送一个报文给UDP端口，该端口是关闭状态时，端口会返回给一个ICMP信息，所有的判定都基于这个原理。
使用UDP扫描需要注意的是: 第一，因为UDP不是面向连接的，所以其精度较低；第二，UDP的扫描速度比较慢，TCP扫描开放1s的延时，在UDP里可能就需要2s，这是由于不同操作系统在实现ICMP的时候为了避免广播风暴都会有峰值速率的限制(因为ICMP并不是传输载荷信息，所以传输信息的价值有限，操作系统在实现时会避免ICMP报文过多。为了避免产生广播风暴，操作系统对ICMP报文规定了峰值速率。对于不同操作系统，该速率不同)，因此，利用UDP作为扫描的基础协议会对精度、延时产生较大影响。图39常见的服务及系统指纹技术

4. 服务及系统指纹
判定完端口状况之后，继而就要判定服务。常见的服务及系统指纹技术如图39所示。
端口判定: 这种判定服务的方式就是根据端口直接利用端口与服务对应的关系，如23端口对应Telnet，21对应FTP，80对应HTTP。这种方式判定服务是较早的一种方式，对于大范围评估，是有一定价值的，但其精度较低。例如，使用NetCat这样的工具在80端口上监听，这样扫描时会以为80在开放，但实际上80并没有提供HTTP服务，由于这种关系只是简单对应，并没有判断端口运行的协议，这就会产生误判，认为只要开放了80端口，就是开放了HTTP。但实际并非如此，这就是端口扫描技术在服务判定上的根本缺陷。
 Banner: Banner的方式相对精确。获取服务的Banner是一种比较成熟的技术，可用来判定当前运行的服务，对服务的判定较为准确。该方式不仅能判定服务，还能判定具体的服务版本信息。例如，根据头部信息发现对方是Redhat Linux，基本上可以锁定服务的真实性。此外，这种技术比较灵活。例如，HTTP、FTP、Telnet都能够获取一些Banner信息。为了判断服务类型、应用版本、OS平台，通过模拟各种协议初始化握手获取信息。
但是需要注意的是，在安全意识普遍提升的今天，对Banner的伪装导致精度大幅降低。例如，IIS和Apache可以对存放Banner信息的文件字段进行修改，而且这种修改的开销很低。此外，当前流行的一个伪装工具Servermask不仅能够伪造多种主流Web服务器Banner，还能伪造HTTP应答头信息里的项的序列。
5. 指纹技术
指纹技术利用TCP/IP协议栈实现上的特点辨识一个操作系统。可辨识操作系统类型、主版本号，甚至可辨识小版本号。常见的指纹技术如图310所示。图310常见的指纹技术

主动识别技术: 采用主动发包，利用多次试探，一次一次筛选不同信息，如根据ACK值判断，有些系统会发回所确认的TCP分组的序列号，有些会发回序列号加1，还有一些操作系统会使用一些固定的TCP窗口。某些操作系统还会设置IP头的DF位改善性能，这些都可以成为判断的依据。需要说明的是，这种技术判定Windows的精度比较差，只能判定一个大致区间，很难判定出其精确版本，但是在识别UNIX网络设备时，甚至可以判定出小版本号，精确度较高。在大多数情况下，目标主机与源主机跳数越多，精度越差，原因在于数据包里的很多特征值在传输过程中都已经被修改或模糊化，一定程度上会影响到探测的精度。
被动识别技术: 不是向目标系统发送分组，而是被动监测网络通信，以确定所用的操作系统。具体而言，对报头内DF位、TOS位、窗口大小、TTL的嗅探进行判断。因为该方式不需要发送数据包，只需要抓取其中的报文，所以叫作被动识别技术。
ICMP指纹识别技术: 在黑帽大会上，出现了ICMP指纹识别技术，并开发出相应的工具Xprobe，其优势是只需要通过ICMP，发送一批UDP包给关闭的高端端口，然后计算返回来的不可达错误消息。通常情况下送回IP头 8个字节，但是个别系统送回的数据更多一些。根据ICMP回应的TOS、TTL值、校验和等信息，并以树状的形式过滤，最终精确锁定。例如，当发送ICMP的echo请求时，对方回应的TTL值是有一定规律可循的。3.33.3网络设备漏洞防护3.3.1硬件本身的防护措施〖*2〗1. 防火墙防护防火墙技术是网络漏洞防护中最常用的技术之一。防火墙可以看作是一个位于计算机和它所连接的网络之间的软件或硬件，该计算机流入/流出的所有网络通信和数据包均要经过此防火墙。防火墙的作用原理是在用户端网络周围建立起一定的保护网络，从而将用户的网络与外部的网络相隔。防火墙技术能够在很大程度上阻挡外部的入侵，同时还能避免系统内部对外部网络进行非法访问。简单地说，防火墙就是在内部系统和外部网络之间建立起一层保护层，在这个保护层中有各种各样的硬件和软件设施，能够区分用户内部网络和外界网络、公告网络等。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。任何外部的访问都需要经过这几个部分的验证后才被允许，而无法通过防火墙验证的访问则被限制在了防火墙的外部，这样就能在最大限度上防止黑客和病毒的入侵，筛除非法访问，避免网络内部的信息被随意篡改。防火墙技术最开始是为了避免Internet网络中的不安全因素，而当前该技术已经在局域网和互联网中得到广泛应用，成为基础性的网络安全保护设施。
2. 路由器防护
路由器具备了完备的安全功能，有时甚至要比防火墙的功能还完备。现在的大多数路由器都具备了健壮的防火墙功能，还有一些有用的IDS/IPS功能，可以作为健壮的QoS 和流量管理工具，当然还具备强大的VPN 数据加密功能。综上，路由器完全有能力为网络增加安全性。同时，利用现代的VPN 技术，可以相当简便地为企业WAN上的所有数据流进行加密。通常，主要从以下4个方面实现路由器防护。
1) 对路由器设置特定的IP地址
当设置路由器时，首先是在浏览器中输入路由器的管理地址，进入路由器管理界面，但是，有时为了安全考虑，网络管理员会修改路由器的默认管理地址为其他地址。
一般情况，用户都是从WLAN内获得对路由器基于Web的管理接口的访问，不需要远程管理路由器。但这种方式并不安全，较安全的做法是，用户首先使用虚拟专用网络(VPN)安全地连接到本地网络，然后再访问路由器的接口。采用这样的方式，攻击者就不能从网络直接访问路由器了。
如果用户采取上述保护方法，就可以进一步锁定自身的路由器了。此外，通过指定一个互联网协议(IP)地址，用户就可以管理路由器。具体方法如下: 用户通过手动配置计算机，使其在需要连接到路由器时，通过路由器的动态主机配置协议(DHCP)自动使用尚未分配给WLAN上其他设备的特定IP地址。
用户还可以试着将他们的路由器的LAN IP地址更改为DHCP地址池中的第一个地址以外的地址。这样就把路由器从整个网络分开，有助于保护路由器免受跨站点请求伪造(CSRF)的攻击。
2) 拒绝使用无线安全设置
对于一般用户，无线安全设置(WPS)提供了一个相对简便的加密方法。通过该功能，不仅可以将具备WPS功能的WiFi设备和无线路由器进行快速互联，还可以随机产生一个8位数字的字符串作为个人识别号码(PIN)进行加密操作，省去了客户端连入无线网络时，必须手动添加网络名称(SSID)及输入冗长的无线加密密码的烦琐过程。
路由器制造商认为对无线网加密是一个复杂的过程，为了方便用户，于是设计开发了WPS功能。该功能允许新用户通过输入一个8位数的PIN加入网络，当正确提交时，将更复杂的PSK传送到其设备并存储。
然而，任何容易设置的东西同时也容易遭到攻击。美国计算机应急准备小组(USCERT)在2012年就把WPS的安全漏洞公之于众。早在2011年，就有攻击者可以强制获得有线等效保密(WEP)或WiFi保护访问(WPA)的密码了。目前还没有针对WPS缺陷的通用补丁，除非设备生产商把所有的设备进行更新。
3) 考虑网络分段和MAC地址过滤
网络分段和无线MAC地址过滤都可以有效控制无线网络内用户的上网权限，实施分离的VLAN就可以将物联网设备与其他部分隔离。如果攻击者侵入并访问VLAN，则在大多数情况下不会影响其他的连网设备。
为了进一步加强安全，用户可以利用每个计算设备的媒体访问控制(MAC)地址或其唯一的硬编码标识符将该设备列入白名单，并批准其对无线网的访问，那些没有访问权限的设备则无法连接到路由器。
4) 端口转发和IP过滤结合使用
家庭路由器都配有防火墙，以便阻止互联网上的所有设备与本地网络上的设备连接。
路由器和计算设备通常具有通用即插即用(UPnP)的特征。路由器UPnP功能用于实现局域网计算机和智能移动设备，通过网络自动彼此对等连接，而且连接过程无须用户的参与。但并不是用户都希望他们的设备被自动连接，这时用户可以设置端口转发。端口转发是一组防火墙入站规则，告诉路由器读取每个传入数据包的源IP地址、TCP中的源端口号等其他特性。根据这些特性，路由器就可以对特定的设备发送数据包或阻止不符合特性的访问。
端口转发和IP过滤结合使用所起的作用就是指定哪些IP地址可以使用哪些特定端口，才能连入网络，这样在一定程度上提高了路由器的安全性。
3. 交换机防护
交换机实际是一个为转发数据包优化的计算机，但是只要是计算机，就有被攻击的可能，如非法获取交换机的控制权，导致网络瘫痪以及受到DoS攻击等。此外，交换机可以作生成权维护、路由协议维护、ARP、建路由表，维护路由协议，对ICMP报文进行处理，监控交换机，这些都有可能成为黑客攻击交换机的手段。
传统交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互联，加上TCP/IP本身的开放性，网络安全成为一个突出问题，网络中的敏感数据、机密信息被泄漏，重要数据设备被攻击，而交换机作为网络环境中重要的转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的交换机需要增加安全性。
在网络设备厂商看来，加强安全性的交换机是对普通交换机的升级和完善，除了具备一般的功能外，这种交换机还具备普通交换机不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能够实现特定的安全策略，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种做法就是在现有交换机中嵌入各种安全模块。现在，越来越多的用户都表示希望在交换机中增加防火墙、VPN、数据加密、身份认证等功能。
安全性加强后的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括IEEE 802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚拟网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。
目前交换机中常用的安全技术主要包括以下4种。
1) 流量控制技术
把流经端口的异常流量限制在一定范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。然而，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定范围内，无法区分哪些是正常流量，哪些是异常流量。同时，设定一个合适的阈值也比较困难。
2) 访问控制列表(ACL)技术
ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)选择允许或拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
如今，业界普遍认为安全应该遍布于整个网络内，内网到外网的安全既需要通过防火墙之类的专业安全设备解决，也需要交换机在保护用户方面发挥作用。目前绝大多数用户对通过交换机解决安全问题抱积极态度，近75%的用户打算今后在实践中对交换机采取安全措施，希望通过加固遍布网络的交换机实现安全目标。
3) “防护”需要出色的体系结构
优秀的防护首先要有一个出色的体系结构设计。现在，很多交换机产品都采用全分布式体系结构设计，通过功能强大的ASIC芯片进行高速路由查找，使用最长匹配、逐包转发的方式进行数据转发，从而大大提升了路由交换机的转发性能和扩充能力。
4) IPv6技术
近几年来，IT技术迅速发展，用户日益丰富的应用需求以及越来越多终端设备对网络的需求促使现有的IPv4类型IP地址呈现枯竭之势。相关调查机构的数据显示，全球可提供的IPv4地址大约有40亿个，估计在未来5年间将被分配完毕。而我国的情况更严峻，2017年我国网民已突破8000万，截止到2017年年底，我国总共申请到的IPv4的地址为6000万左右。一些业内专家明确指出，若不解决IP地址问题，将会成为我国乃至世界IT业界以及其他相关行业发展的瓶颈。于是，IPv6成了解决IPv4地址匮乏的关键。
现有互联网采用的IPv4协议最初设计是用于教育科研网和企业网，因此在协议的设计中很少关注网络的安全性，导致目前的互联网络自身的安全保护能力有限，许多应用系统处于不设防或很少设防的状态，存在着太多的安全隐患，并且情况日趋严重和复杂。目前的病毒早已不再是传统的病毒，而是混合了黑客攻击和病毒特征于一体的网络攻击行为。2003年，系统漏洞问题首次大规模成为人们关注的焦点，目前，除微软的系统漏洞外，像某型路由器、数据库、Linux操作系统、移动通信系统以及很多特定的应用系统中，均存在大量的漏洞，尤其是在关键应用系统中，如金融、电信、民航、电力等系统，漏洞一旦被黑客利用，造成的后果将不堪设想。
随着用户需求和业务的不断发展，互联网安全成为实现创新业务和赢利商业模式的前提。由于IPv4地址的短缺，无法实现端到端的安全性，解决的办法是采用网络地址转换(NAT)技术，或利用端口复用技术，或使用私有IP地址，以扩大公有IP地址的使用率。NAT方式在原来的客户/服务器模式的应用上可以很好地使用，但新型应用越来越多地依赖于对等方式通信。此外，对于大量增长的终端等在线设备来说，端到端的寻址变得非常重要。由于NAT方式无法保证端到端通信，这就限制了很多新业务的开展，严重阻碍了互联网产业发展。因此，端到端的安全性是未来业务的基本特性，只有借助IPv6丰富的地址空间实现真正的端到端，才能保证下一代互联网多种新业务的开展和成熟商业模式的形成。
3.3.2技术角度的防护措施
网络设备的漏洞防护主要需要从以下几大方面着手。
1. 设备自身的安全性
设备自身的安全性包括设备系统版本是否存在漏洞和硬件是否存在后门等。对于漏洞等技术上的问题，通常会有相应的解决方案，例如，通过关闭服务规避或升级软件修复漏洞等，但现实却是大量的设备使用方并没有及时采用这些方案和措施，因而导致网络设备被利用和攻击。
2. 设备配置安全
需考虑设备配置是否得当，其中设备的配置包括管理配置以及策略配置。
3. 账号口令设置及用户权限分配
修改默认管理员的账号和密码；根据自己的实际需求建立相应的用户账号，并只为之分配必要的权限，然后设置一个复杂的密码，并定期修改；修改默认的登录参数，以提高安全性。
4. 设备的访问控制
使用专用的管理口对设备进行管理，并配置只允许特定IP有访问设备管理IP的权限，尽量不向外网开放设备的访问权限。对于设备提供的5种管理方式 “串口”、HTTP、HTTPS、SSH、Telnet，建议不要使用HTTP和Telnet方式对设备进行管理，原因在于这两种方式在传输用户名和密码时都是明文，很容易被恶意用户探测到。最后，需要修改默认的管理端口。
5. 将设备的日志发送到服务器
设备重启后，有些设备日志会被清空。为了更好地保存日志，建议将日志发送到专门的服务器保存。这样，在出现问题或发生安全事件后，可以方便地通过日志分析原因。
3.3.3管理角度的防护措施
为了快速有效地提升网络设备防护，除了完善网络设备在安全管理方面存在的不足外，同时在一定程度上也需要规避技术上的缺陷，有效提升设备运行安全性。为降低网络设备的安全风险，针对漏洞、后门、DDoS攻击等安全问题，实现动态、持续、有效防护，需要从防护意识、防护制度和安全配置等方面进行针对性的完善和提升，具体如下。
1) 增强网络设备安全防护意识是基础
针对网络设备的安全防护，首先要增强人们的安全防护意识，充分认识到网络设备的安全重要性。例如，设备使用方需要了解如果发生攻击事件，可能导致的严重后果是什么；可能的攻击路径有哪些，如何防范和监测；出现安全问题时如何快速响应。增强安全防护意识还要求设备使用方持续关注所用网络设备的安全威胁情报，出现新的漏洞时要及时跟进，了解临时防护措施，实现动态的、持续的安全防护。
2) 健全并实施合理的网络设备安全管理制度是关键
制定并实施合理的网络设备防护管理制度，是实现网络设备安全防护的有效手段。在设备使用方的防护管理制度中，不可忽视对网络设备的安全防护管理。例如，在人员方面，需要配置专业的管理人员，对相关人员定期进行安全意识和技能培训；在设备管理权限方面，严格限制配置修改权限，实现分级分权管理，具备差异化的口令要求以及口令严格保密要求等。
3) 持续保障配置安全是核心
网络设备的防护问题大部分源于安全配置的缺乏。网络设备的安全配置可重点从以下4个方面入手: 一是配置严格的远程访问控制，限制访问路径；二是关闭无用的对外服务，遵循“最小够用”原则；三是配置日志审计和日志备份，实现有效审计和溯源；四是定期检查软件版本，及时修复已知漏洞，安全升级。
思考题
1. 常见的网络设备漏洞有哪些？
2. 常见的交换机漏洞有哪些？各有什么特点？
3. 扫描器的重要性体现在哪些方面？
4. 常见的扫描技术包含哪些？
5. 从哪些方面可以对网络设备漏洞进行防护？第4章第4章操作系统漏洞及其
防范措施

操作系统(Operation System，OS)是管理和控制计算机硬件与软件资源的计算机程序，是用户和计算机的接口，同时也是计算机硬件和其他软件的接口。本章主要介绍操作系统的基础知识。通过本章的学习，达到理解操作系统的基本概念、操作系统常见的漏洞、操作系统漏洞的发展趋势、操作系统的安全扫描以及漏洞的防护等目标。4.14.1操作系统的基本概念操作系统是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。
作为一个底层的系统软件，操作系统肩负诸如管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本事务。操作系统是一个庞大的控制管理程序，包括进程与处理机管理、作业管理、存储管理、设备管理、文件管理。所有的操作系统都具有并发性、共享性、虚拟性和不确定性。
在信息系统的安全中，操作系统的安全至关重要，其安全职能是其他软件安全职能的根基。一方面，操作系统直接为用户数据提供各种保护机制，如实现用户数据之间的隔离；另一方面，为用户程序提供可靠的运行环境，保证应用程序的各种安全机制正常发挥作用，如禁止数据管理系统之外的应用程序直接操作数据库文件，以防数据库系统的安全保护机制被绕过。
在计算机网络环境中，整个网络的安全依赖于其中各主机系统的安全可信性。如果没有操作系统安全作为基础，就谈不上主机系统和网络的安全。因此，操作系统的安全是整个信息安全体系的基石。4.24.2操作系统的常见漏洞4.2.1Windows系统的常见漏洞
Windows操作系统以其操作方便、界面友好等特点深受全球用户的欢迎，是目前个人计算机上安装使用最多的操作系统。但其也被发现了大量的漏洞，其中相当部分可以被入侵者利用，进而控制系统。本节主要对这些常见漏洞的攻击原理进行简单介绍。
漏洞扫描与防护第4章操作系统漏洞及其防范措施1. 权限许可和访问控制漏洞
Microsoft Windows中的Edge存在提权漏洞，该漏洞源于程序没有正确地强制执行跨域策略。攻击者可利用该漏洞跨域访问信息、执行操作(更改权限、删除内容或向浏览器中注入恶意的内容)，并将该信息注入其他域。以下版本容易受该漏洞的影响: Microsoft Windows 10、Windows 10版本1511、Windows 10版本1607、Windows 10版本1703、Windows 10版本1709、Windows Server 2016。
2. 信息泄漏漏洞
Microsoft Windows中存在信息泄漏漏洞，该漏洞源于its://协议处理器不必要地将流量发送到远程网站，决定请求区域。攻击者可利用该漏洞实施暴力破解攻击，获取相应的散列密码。
3. 远程代码执行漏洞
Microsoft Windows RPC存在远程代码执行漏洞。由于远程访问服务处理请求方式不当，远程攻击者可利用漏洞执行任意代码。
4. 安全绕过漏洞
Microsoft Windows中的Device Guard存在安全绕过漏洞，该漏洞源于程序未能正确地验证不可信的文件。攻击者可借助未签名的文件利用该漏洞执行恶意文件。
5. GDI组件信息泄漏漏洞
Microsoft Windows 7 SP1是一套个人计算机使用的操作系统。Windows Server 2008 SP2和R2 SP1是服务器操作系统。GDI component是其中的一个图形设备接口组件。Microsoft Windows 7 SP1、Windows Server 2008 SP2和R2 SP1中的GDI组件存在信息泄漏漏洞，该漏洞源于程序未能正确地公布内核内存地址。本地攻击者可通过登录受影响的系统并运行特制的应用程序利用该漏洞获取信息。
6. Kernel API权限提升漏洞
Kernel API是Windows操作系统的内核API。Microsoft Windows中的Kernel API存在权限提升漏洞。攻击者可借助特制的应用程序利用该漏洞注入跨进程通信，中断系统功能。
7. Kernel本地信息泄漏漏洞
Microsoft Windows中的Kernel存在本地信息泄漏漏洞。攻击者可通过登录受影响的系统并运行特制的应用程序利用该漏洞检索信息，绕过地址空间布局随机化(ASLR)技术。
8. Server Message Block权限提升漏洞
Server Message Block(SMB)Server是Windows操作系统的一个为计算机提供身份验证、用以访问服务器上的打印机和文件系统的组件。Microsoft Windows中的SMB Server存在权限提升漏洞。攻击者可通过登录系统并运行特制的应用程序，利用该漏洞绕过安全检查，控制受影响的系统。
9. 输入验证漏洞
Microsoft Windows输入验证漏洞存在于多个版本的Windows系统中，远程攻击者可借助特制的.LINK文件利用该漏洞执行任意代码。
10. WPAD服务权限提升漏洞
Windows默认开启的WPAD服务中存在权限提升漏洞，攻击者可利用该漏洞远程控制Windows系统，并且能够获取系统的最高权限。
攻击者首先需要伪造NetBIOS连接(即攻击者使用的终端伪装成NetBIOS可识别的目标)，与目标网络或主机产生通信可能。通过伪装方式，只要支持建立NetBIOS通信，即使目标网络或主机处于局域网中，攻击者也有可能绕过防火墙和NAT设备，将网络流量通过互联网全部重定向到攻击者的计算机。可以预见的攻击场景有: 攻击者将终端伪装成网络设备(例如，打印机服务器或文件服务器)，即可监听未加密流量，也可以发起中间人攻击，如拦截和篡改Windows更新下载、向用户网络请求返回中植入恶意页面(URL)；此外，攻击者还可通过Edge、Internet Explorer、Microsoft Office或Windows上的许多第三方软件利用该漏洞，也有可能通过其他类型网络服务或者通过本地端口驱动组件进行利用。综合业内各方研判情况，该漏洞影响版本范围跨度大、利用方式穿透绕过能力强，一旦漏洞细节披露，将造成极为广泛的攻击威胁，或可诱发APT攻击。
11. 快捷方式漏洞
快捷方式漏洞是Windows Shell框架中存在的一个危急安全漏洞。在Shell32.dll的解析过程中，会通过“快捷方式”的文件格式逐个解析: 首先找到快捷方式指向的文件路径，接着找到快捷方式依赖的图标资源。这样，在Windows桌面和开始菜单上就可以看到各种图标，当点击这些快捷方式时，就会执行相应的应用程序。
微软Lnk漏洞就是攻击者利用系统解析的机制，恶意构造出一个特殊的快捷方式(Lnk)文件来骗操作系统。当Shell32.dll解析到这串编码的时候，会认为这个“快捷方式”依赖一个系统控件(dll文件)，于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒，那么Windows在解析这个Lnk文件时，就把病毒激活了。该病毒很可能通过USB存储器进行传播。
12. SMB协议漏洞
SMB协议主要作为Microsoft网络的通信协议，用于在计算机间共享文件、打印机、串口等。当用户执行 SMB2协议时，系统将会受到网络攻击，从而导致系统崩溃或重启。因此，只要故意发送一个错误的网络协议请求，Windows 7系统就会出现页面错误，从而导致蓝屏或死机。
4.2.2其他常见的操作系统漏洞〖*2〗1. UNIX操作系统漏洞UNIX系统因其性能稳定可靠，在金融、保险等行业得到广泛的应用。但是，目前UNIX系统仍有一些软件本身存在着安全隐患。本节探讨UNIX系统存在的漏洞，具体如下。
1) UNIX系统与环境变量相关的安全漏洞
(1) IFS。
一种攻击的方法是通过输入域分隔符(Internal Field Seprator，IFS)Shell变量实现的。该变量用于决定传给Shell的字符串分隔符。例如，一个程序调用函数system()或popen()执行一个命令，那么该命令首先由Shell分析。如果执行的用户可以控制IFS环境变量，可能会导致不可预测的结果。
(2) Home。
另一种环境攻击的方法是通过使用Home环境变量。通常，csh和ksh在路径名称中用字符“～”代替该变量。因此，如果一个入侵者能改变该值，就能利用一个使用字符“～”作为 Home 命令的Shell文件破坏系统安全。
(3) Path。
用Path攻击的方法特征是利用Path环境变量文件路径的值和顺序。如果执行的命令不是以绝对路径方式执行，则不合理的路径顺序会导致意外的结果。
(4) Umask值。
默认的文件保护掩码(Umask)的设置经常是不正确的。许多程序没有检查Umask的值，而且经常忘记指定新建文件的保护掩码值。即使该程序创建了一个文件，也容易忘记改变其保护模式而使之安全。入侵者可以利用这一点更改可写的文件。因此，在建立任何文件前，要先建立一个Umask值。
2) UNIX系统源程序代码的漏洞
(1) 缓冲区溢出。
不好的编程习惯也会导致软件的安全漏洞。一个典型的利用该漏洞的例子是Morris蠕虫。该漏洞利用了系统调用gets()在执行时不检查参数的长度，而fgets()系统调用没有这个问题。上述漏洞使得在用户的控制下缓冲区会溢出，因此程序会出现不可预测的结果。另外，还有几个系统调用也存在同样的漏洞，它们是scanf()、sscanf()、fscanf()和sprintf()。
(2) 状态返回值。
另一个经常存在的漏洞是不检查每个系统调用的返回值。这意味着入侵者如果可以控制程序运行环境，就能调用一个失败的系统，而调用在用户程序中却认为是永远会正确对待的。这会使用户的程序出现不确定的结果。
(3) 捕捉信号。
在很多情况下，程序员编写的程序不捕捉它可以接收的信号，因此执行的结果会有异常情况。这允许一个入侵者设置其Umask为某个值，之后向一个特权(具有特殊用户权限)程序发送一个信号——该信号使特权程序产生core文件(有的系统不允许产生core文件)。此时，该core文件的所有者是执行该程序的Uid，但是它的保护掩码是由Umask设置的。
3) 特洛伊木马
特洛伊木马与一般用户想要执行的程序从外观上看(如文件名)很相似，如编辑器、登录