淺談網絡安全之漏洞

桂 鑫

（武漢工業學院工商學院，湖北 武漢 430000）

自從 1993年 Internet上首次采用第一種圖形用戶界面NCSA MOSAIC以來，這一全球最大網絡的用戶數量與服務內容都有了迅猛增加。商業集團和個人用戶都很快意識到，由Internet帶來的革命化通信時代，為通信應用領域開辟了無限的前景。如今，計算機互聯網技術在信息交互、信息處理、信息查找、信息管理等方面起著越來越重要的作用。互連網絡為人們獲取信息、交換信息、管理信息和進行各種社會活動提供了一個快速而方便的平臺，為社會的發展帶來了巨大效益。

然而，在人們得益于信息革命所帶來的巨大機遇的同時，也不得不面對信息安全問題的嚴峻挑戰。西方發達國家將由計算機武裝起來的社會稱為“脆弱的社會”，就是基于以下事實：計算機主機和網絡系統不斷被非法入侵、計算機病毒不斷在產生和傳播，導致重要的經濟、政治和軍事情報資料被竊取，重要的網絡服務時時有被攻破和崩潰的危險。這些給各行各業帶來了巨大的經濟損失，甚至危及國家安全。在中國，形勢同樣不容樂觀。隨著網絡經濟的發展，在我們這個擁有2 250萬網民（據CNNIC 2000年的有關統計）的國度里，各網站也時常受到國內黑客和境外黑客及垮客（Cracker）的攻擊和威脅。

隨著科學技術的飛速發展，21世紀的地球人已經生活在信息時代。20世紀人類兩大科學技術成果——計算機技術和網絡技術，均已深入到人類社會的各個領域，Internet把“地球村”的居民緊密聯系在一起，“天涯若比鄰”已然成為現實。互聯網之所以能這樣迅速蔓延，被世人接受，是因為它具備特有的信息資源。無論對商人、學者，還是對社會生活中的普通老百姓，只要你進入網絡的世界，就能找到其隱藏的奧妙，就能得到你所需要的價值，而這其中種種的人類社會活動，它們的影響又是相互的。近年來Internet的迅速發展，給人們的日常生活帶來了全新的感受，“網絡生存”已經成為時尚，同時人類社會諸如政治、科研、經濟、軍事等各種活動對信息網絡的依賴程度已經越來越強，“網絡經濟”時代已初露端倪。

然而，網絡技術的發展在給我們帶來便利的同時也帶來了巨大的安全隱患，尤其是Internet和Intranet的飛速發展對網絡安全提出了前所未有的挑戰。技術是一把雙刃劍，不法分子試圖不斷利用新的技術伺機攻擊他人的網絡系統，而肩負保護網絡安全重任的系統管理員則要利用最新的網絡技術來防范各種各樣的非法網絡入侵行為。事實已經表明，隨著互連網的日趨普及，在互連網上的犯罪活動也越來越多，特別是Internet大范圍的開放以及金融領域網絡的介入，使得越來越多的系統遭到入侵攻擊的威脅。但是，不管入侵者是從外部還是從內部攻擊某一網絡系統，攻擊機會都是通過挖掘操作系統和應用服務程序的弱點或者缺陷來實現的，1988年的“蠕蟲事件”就是一個很好的實例。目前，對付破壞系統企圖的理想方法是建立一個完全安全的沒有漏洞的系統。但從實際上看，這是根本不可能的。美國Wisconsin大學的Miller給出一份有關現今流行操作系統和應用程序的研究報告，指出軟件中不可能沒有漏洞和缺陷。因此，一個實用的方法是：建立比較容易實現的安全系統，同時按照一定的安全策略建立相應的安全輔助系統，漏洞掃描器就是這樣一類系統。就目前系統的安全狀況而言，系統中存在著一定的漏洞，因此也就存在著潛在的安全威脅，但是，如果我們能夠根據具體的應用環境，盡可能早地通過網絡掃描來發現這些漏洞，并及時采取適當的處理措施進行修補，就可以有效地阻止入侵事件的發生。因此，網絡掃描非常重要和必要。

漏洞（Vulnerability）也稱為脆弱性。它是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。具體舉例來說，比如在Intel Pentium芯片中存在的邏輯錯誤，在Sendmail早期版本中的編程錯誤，在NFS協議中認證方式上的弱點，在Unix系統管理員設置匿名 Ftp服務時配置不當的問題都可能被攻擊者使用，威脅到系統的安全。因而這些都可以認為是系統中存在的安全漏洞。漏洞一旦被發現，就可以被攻擊者用以在未授權的情況下訪問或破壞系統。每個平臺無論是硬件還是軟件都存在漏洞。所有這些狀態轉換又可以分為授權的或是非授權的轉換。一個有漏洞狀態是一個授權狀態，從有漏洞狀態經過授權的狀態轉換可以到達一個非授權狀態，這個非授權狀態稱為最終危及安全狀態。攻擊就是從授權狀態經過狀態轉換到達最終危及安全狀態。因此，攻擊是從有漏洞開始的。

1 漏洞的成因

漏洞的成因很多，一般有以下幾類：

1.1 網絡協議漏洞

TCP/IP協議組是目前使用最為廣泛的網絡互連協議之一。但TCP/IP協議在設計時是將它置于可信的環境之下，并將網絡互連和開放性作為首要考慮的問題，而沒有過多的考慮安全性。這就造成了 TCP/IP協議族本身的不安全性，導致一系列基于TCP/IP的網絡服務的安全性也相當脆弱。

1.2 應用軟件系統漏洞

任何一種軟件系統都或多或少存在一定的脆弱性，安全漏洞可以看作是已知的系統脆弱性。例如，一些程序只要接收到一些異常或者超長的數據和參數，就會導致緩沖區溢出。這是因為很多軟件在設計時忽略或者很少考慮安全性問題，即使在軟件設計中考慮了安全性，也往往因為開發人員缺乏安全培訓或沒有安全經驗而造成了安全漏洞。應用軟件系統的漏洞有兩種：一是由于操作系統本身設計缺陷帶來的安全漏洞，這種漏洞將被運行在該系統上的應用程序所繼承；二是應用軟件程序的安全漏洞。

1.3 配置不當引起的漏洞

在一些網絡系統中忽略了安全策略的制定，即使采取了一定的網絡安全措施，但由于系統的安全配置不合理或不完整，安全機制沒有發揮作用；或者在網絡系統發生變化后，由于沒有及時更改系統的安全配置而造成安全漏洞。

2 漏洞的檢測方法

對漏洞的檢測目前主要是采用漏洞掃描技術。通常漏洞掃描采用兩種策略：被動式策略和主動式策略。被動式策略是基于主機的，主動式策略是基于網絡的，它通過網絡與遠程的目標主機建立連接，并發送請求信息，分析其返回信息，從而判斷出目標主機是否存在漏洞。

1 謝希仁.計算機網絡.大連：大連理工出版社，2004.6

2 李曉輝、張西紅.網絡端口掃描與漏洞檢測的研究.軍械工程學院學報，2003.1

3 盧英佳、卿斯漢.網絡漏洞掃描技術.桂林電子工業學院學報，2004.6