网络攻防原理与技术课件版第3章网络脆弱性分析.pptx

1、第 三 章 网络脆弱性分析威胁网络安全的主要因素 广义上的网络安全概念 威胁因素 环境和灾害因素 温度、湿度、供电、火灾、水灾、地震、静电、灰尘、雷电、强电磁场、电磁脉冲等，均会破坏数据和影响信息系统的正常工作 人为因素：多数安全事件是由于人员的疏忽、恶意程序、黑客的主动攻击造成的 有意：人为的恶意攻击、违纪、违法和犯罪 无意：工作疏忽造成失误（配置不当等），会对系统造成严重的不良后果威胁网络安全的主要因素 威胁因素(Cont.)系统自身因素 计算机系统硬件系统的故障 软件：操作系统、支撑软件和应用软件 网络和通信协议 系统自身的脆弱和不足是造成信息系统安全问题的内部根源，攻击者正是利用系统的

2、脆弱性使各种威胁变成现实内容提纲网络体系结构的脆弱性网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络概述1 计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信 主机：计算机和非计算机设备 信道：有线与无线 网络设备：集线器、交换机、路由器等计算机网络 计算机网络：由通信信道连接的主机和网络设备的集合，以方便用户共享资源和相互通信 互联网（internet或internetwork）因特网（Internet）计算机网络 因特网：多层次ISP结构的网络计算机网络结构和组成第一层 ISP大公司本地 ISP大公司大公司公司本地 ISP本地 ISP校

3、园网局域网局域网局域网第二层 ISP第二层 ISPIXPIXP第一层 ISP第二层 ISP本地 ISP本地 ISP本地 ISP本地 ISP第一层 ISP第一层第二层第三层本地 ISP第二层 ISP本地 ISP本地 ISP本地 ISP本地 ISP第二层 ISP本地 ISP本地 ISP第二层 ISP企业用户住宅用户单位用户主机B主机A校园用户 因特网：边缘部分+核心部分计算机网络结构和组成核心部分边缘部分主机网络路由器接入网 边缘部分：主机+接入网计算机网络结构和组成 核心部分：大量网络+路由器计算机网络结构和组成H1H5H2H4H3H6发送的分组路由器AEDBC网络核心部分主机 网络的体系结构(

4、architecture)：计算机网络的各层及其协议的集合 协议（protocol）：为网络中互相通信的对等实体间进行数据交换而建立的规则、标准或约定，三要素：语法、语义、同步网络体系结构网络体系结构内容提纲网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络概述1 从网络体系结构上分析 分组交换、认证与可追踪性、尽力而为的服务策略、匿名与隐私、无尺度网络、级联结构、互联网的级联特性、中间盒子计算机网络的脆弱性计算机网络的脆弱性 问题一：分组交换 Internet是基于分组交换的，这使得它比电信网（采用电路交换）更容易受攻击：所有用户共享所有资源，给予一个用户的服务会受到

5、其它用户的影响；攻击数据包在被判断为是否恶意之前都会被转发到受害者！(很容易被DoS攻击)；路由分散决策，流量无序。计算机网络的脆弱性 问题二：认证与可追踪性 Internet 没有认证机制，任何一个终端接入即可访问全网（而电信网则不是，有UNI、NNI接口之分），这导致一个严重的问题就是IP欺骗：攻击者可以伪造数据包中的任何区域的内容然后发送数据包到Internet中。通常情况下，路由器不具备数据追踪功能（Why？），因此没有现实的方法验证一个数据包是否来自于其所声称的地方。攻击者通过IP欺骗隐藏来源。计算机网络的脆弱性 问题三：尽力而为(best-effort)因特网采取的是尽力而为策略：

6、把网络资源的分配和公平性完全寄托在终端的自律上是不现实的（DDoS利用的就是这一点）计算机网络的脆弱性 问题四：匿名与隐私 普通用户无法知道对方的真实身份，也无法拒绝来路不明的信息（如邮件）有人提出新的体系：终端名字与地址分离On the Internet,nobody knows you are a dog;On the Internet,all knows you are not a dog!计算机网络的脆弱性计算机网络的脆弱性计算机网络的脆弱性 问题五：对全球网络基础实施的依赖 全球网络基础设施不提供可靠性、安全性保证，这使得攻击者可以放大其攻击效力：一些不恰当的协议设计导致一些（尤其是

7、畸形的）数据包比其它数据包耗费更多的资源（如TCP SYN包比其它的TCP包占用的目标资源更多）；Internet是一个大“集体”，其中有很多的不安全的系统计算机网络的脆弱性 问题六：无尺度网络 无尺度网络的典型特征是网络中的大部分结点只和很少结点连接，而有极少数结点与非常多的结点连接。这种关键结点（称为“枢纽”或“集散结点”）的存在使得无尺度网络对意外故障有强大的承受能力（删除大部分网络结点而不会引发网络分裂），但面对针对枢纽结点的协同性攻击时则显得脆弱（删除少量枢纽结点就能让无尺度网络分裂成微小的孤立碎片）。CDN Loop攻击计算机网络的脆弱性 问题七：互联网的级联特性 互联网是一个由路

8、由器将众多小的网络级联而成的大网络。当网络中的一条通讯线路发生变化时，附近的路由器会通过“边界网关协议(BGP)”向其邻近的路由器发出通知。这些路由器接着又向其他邻近路由器发出通知，最后将新路径的情况发布到整个互联网。也就是说，一个路由器消息可以逐级影响到网络中的其它路由器，形成“蝴蝶效应”。“网络数字大炮”计算机网络的脆弱性 问题八：中间盒子（Middle Box）违背了“端到端原则”，从源端到目的端的数据分组的完整性无法被保证，互联网透明性逐渐丧失中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子中间盒子 清华大学段海新教授团队关于中间盒子主要研究成果中间盒子 清华大学段海新教授：中

9、间盒子内容提纲网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网络概述1一、一、IP协议安全性分析协议安全性分析IPv4 安全性分析 IPv4协议没有认证机制：没有消息源认证：源地址假冒 没有完整性认证：篡改IPv4 安全性分析 IPv4协议没有认证机制：没有消息源认证：源地址假冒 没有完整性认证：篡改IPv4 安全性分析 IPv4协议没有认证机制：没有消息源认证：源地址假冒 没有完整性认证：篡改IPv4 安全性分析 IPv4协议没有认证机制：没有消息源认证：源地址假冒 没有完整性认证：篡改 IPv4没有加密机制 无机密性：监听应用数据 泄露拓扑等信息：网络侦察 无带宽控

10、制：DDoS攻击IPv4 IPsec(IP Security)端到端的确保 IP 通信安全：认证、加密及密钥管理 为IPv6制定（必选），支持IPv4（可选）IPsecIPv6IPv6 从IPv4向IPv6过渡采用逐步演进的方法，IETF推荐的过渡方案主要有：双协议栈(dual stack)隧道(tunneling)网络地址转换IPv6 IPv6部署情况（APNIC，2019.6）：IPv6 IPv6通过IPsec来保证IP层的传输安全，提高了网络传输的保密性、完整性、可控性和抗否认性IPv6安全 安全问题 IPv4向IPv6过渡技术的安全风险 无状态地址自动配置的安全风险 IPv6中PKI管

11、理系统的安全风险 IPv6编址机制的隐患IPv6安全 安全问题 IPv6的安全机制对网络安全体系的挑战所带来的安全风险：正在服役的IDS/IPS/WAF不一定支持，于是可以畅行无阻IPv6安全二二、ICMP协议安全性分析协议安全性分析ICMPv4IP 首部0IP 数据部分检验和类型代码（这 4 个字节取决于 ICMP 报文的类型）81631IP 数据报前 4 个字节都是一样的ICMP 的数据部分（长度取决于类型）ICMP 报文 ICMPv6实现IPv4中ICMP、ARP和IGMP的功能，同时进行了功能扩展 ICMPv6不仅可以用于错误报告，还可以用于邻居发现（Neighbor Discover

12、y,ND），对应IPv4中的ARP协议功能；配置和管理组播地址，由组播收听发现协议（Multicast Listener Discovery,MLD）实现，对应IPv4中的IGMP协议功能；路由器发现（Router Discovering,RD）以及消息重定向等功能ICMPv6 安全问题 利用“目的不可达”报文对攻击目标发起拒绝服务攻击。利用“改变路由”报文破坏路由表，导致网络瘫痪。木马利用ICMP协议报文进行隐蔽通信。利用“回送(Echo)请求或回答”报文进行网络扫描或拒绝服务攻击ICMP三、三、ARP协议安全性分析协议安全性分析 ARP用于将计算机的网络地址（32位IP地址）转化为物理地址

13、（48位MAC地址）ARP高速缓存（ARP Cache）ARP ARP安全问题 网络嗅探：流量劫持 阻止目标的数据包通过网关ARP四、RIP协议及其安全性分析 RIP一种内部网关协议 分布式的基于距离向量的路由选择 三个版本：RIPv1（RFC 1058）、RIPv2（RFC1723）和RIPng。RIPv2新增了变长子网掩码的功能，支持无类域间路由、支持组播、支持认证功能，同时对RIP 路由器具有后向兼容性。RIPng主要用于IPv6网络RIP协议 路由策略 和哪些路由器交换信息？仅和相邻路由器交换信息 交换什么信息？当前本路由器所知道的全部信息，即自己的路由表 在什么时候交换信息？按固定的

14、时间间隔交换路由信息RIP协议 协议报文 两类报文：更新报文和请求报文。更新报文用于路由表的分发，请求报文用于路由器发现网上其它运行RIP协议的路由器。RIP协议报文使用UDP协议进行传送RIP协议 RIPv1不支持认证，且使用不可靠的UDP协议作为传输协议，安全性较差。如果在没有认证保护的情况下，攻击者可以轻易伪造RIP 路由更新信息，并向邻居路由器发送，伪造内容为目的网络地址、子网掩码地址与下一条地址，经过若干轮的路由更新，网络通信将面临瘫痪的风险RIP协议安全 RIPv2在其报文格式中增加了一个可以设置16个字符的认证选项字段，支持明文认证和MD5加密认证两种认证方式，字段值分别是16个

15、字符的明文密码字符串或者MD5签名。RIP认证以单向为主，R2发送出的路由被R1授受，反之无法接受。另外，RIPv2协议路由更新需要配置统一的密码 明文认证的安全性仍然较弱RIP协议安全 对于不安全的RIP协议，中小型网络通常可采取的防范措施包括：将路由器的某些接口配置为被动接口，配置为被动接口后，该接口停止向它所在的网络广播路由更新报文，但是允许它接收来自其他路由器的更新报文；配置路由器的访问控制列表，只允许某些源IP 地址的路由更新报文进入列表RIP协议安全 RIPng为IPv6环境下运行的RIP协议，采用和RIPv2完全不同的安全机制。RIPng使用和RIPv1相似的报文格式，充分利用I

16、Pv6中IPsec提供的安全机制，包括AH认证、ESP加密以及伪报头校验等，保证了RIPng路由协议交换路由信息的安全。RIP协议安全五、OSPF协议及其安全性分析 路由策略 和哪些路由器交换信息？向本自治系统中所有路由器发送信息，通常洪泛法 交换什么信息？与本路由器相邻的所有路由器的链路状态，只是路由器所知部分信息表 在什么时候交换信息？当链路状态发生变化时，路由器向所有路由器发送此信息；定期同步链路状态OSPF协议 OSPF使用分布式链路状态协议(link state protocol)由于OSPF依靠各路由器之间频繁地交换链路状态信息，因此所有的路由器都能建立一个链路状态数据库（Link

17、 State Database,LSDB），这个数据库实际上就是全网拓扑结构图 每一个路由器使用LSDB中的数据，构造自己的路由表（例如，使用Dijkstra算法）OSPF协议 OSPF协议报文 类型1，问候(Hello)报文，用来发现和维持邻站的可达性 类型2，数据库描述(Database Description)报文，向邻站给出自己的链路状态数据库中的所有链路状态项目的摘要信息 类型3，链路状态请求(Link State Request,LSR)报文，向对方请求发送某些链路状态项目的详细信息OSPF协议 OSPF协议报文 类型4，链路状态更新(Link State Update,LSU)报

18、文，用洪泛法向全网发送更新的链路状态 类型5，链路状态确认(Link State Acknowledgment,LSAck)报文，对链路更新报文的确认OSPF协议 OSPF不用UDP而是直接用IP数据报传送（其IP数据报首部的协议字段值为89）其报文OSPF协议 OSPF协议可以对接口、区域、虚链路进行认证 接口认证要求在两个路由器之间必须配置相同的认证口令。区域认证是指所有属于该区域的接口都要启用认证，因为OSPF以接口作为区域分界。区域认证接口与邻接路由器建立邻居需要有相同的认证方式与口令，但在同一区域中不同网络类型可以有不同的认证方式和认证口令。配置区域认证的接口可以与配置接口认证的接口

19、互相认证，使用MD5认证口令ID要相同OSPF安全 OSPF认证方式 空认证（NULL，即不认证，类型为0），默认认证方式 简单口令认证（类型为1）MD5加密身份认证（类型为2）OSPF报文格式中有二个与认证有关的字段：认证类型（AuType,16位）、认证数据（Authentication,64位）OSPF安全 同RIPng一样，OSPFv3协议自身不再有加密认证机制，取而代之的是通过IPv6的IPsec协议来保证安全性，路由协议必须运行在支持IPsec的路由器上。IPsec可确保路由器报文来自于授权的路由器；重定向报文来自于被发送给初始包的路由器；路由更新未被伪造OSPF安全 OSPF攻击

20、方式 最大年龄（Max Age attack）攻击 序列号加1（Sequence+）攻击 最大序列号攻击 重放攻击 篡改攻击OSPF安全六、BGP协议及其安全性分析 BGP 协议是一种应用于AS之间的边界路由协议，而且运行边界网关协议的路由器一般都是网络上的骨干路由器 运行BGP协议的路由器相互之间需要建立TCP连接以交换路由信息，这种连接称为BGP会话(Session)BGP协议 BGP定义了四种主要报文，即：打开(Open)报文，用来与相邻的另一个BGP发言人建立关系 更新(Update)报文，用来发送某一路由的信息以及列出要撤消的多条路由 保活(Keep Alive)报文，用来确认打开报

21、文和周期性地证实邻站关系 通知(Notification)报文，用来发送检测到的差错BGP协议BGP协议BGP 发言人发言人BGP发言人发言人BGP 发言人发言人BGP 发言人发言人BGP发言人发言人AS1AS3AS2AS5AS4 BGP 协议最主要的安全问题在于缺乏一个安全可信的路由认证机制，即BGP 无法对所传播的路由信息的安全性进行验证。每个自治系统向外通告自己所拥有的CIDR地址块，并且协议无条件信任对等系统的路由通告，这将就导致一个自治系统向外通告不属于自己的前缀时，也会被BGP用户认为合法，从而接受和传播，导致路由攻击的发生BGP安全 由于BGP协议使用TCP作为其传输协议，因此同

22、样会面临很多因为使用TCP而导致的安全问题，如SYN Flood攻击、序列号预测等BGP安全 BGP协议的路由更新机制也存在被攻击的威胁。2011 年美国明尼苏达大学 M.Schuchard等人在NDSS2011国际会议上提出了一种基于 BGP 协议漏洞的 CXPST（Coordinated Cross Plane Session Termination）攻击方法，俗称“数字大炮”BGP安全 数字大炮BGP安全ABR1R2关键路径关键路径关键路径关键路径BGP协议协议 BGP劫持BGP安全https:/ 2018年9月，NIST 与 DHS 团队共同发布了其 BGP 路由来源验证（ROV）标准

23、的初稿，此项标准将帮助互联网服务供应商与云服务供应商抵御 BGP 劫持攻击 IETF 网站上还以 RFC 8210 与 RFC 8206 的形式发布了 BGP RPKI 与BGPsec 两项 SIDR 协议标准BGP安全七、UDP协议及其安全性分析UDP源端口目的端口长 度检验和数 据数 据首 部首 部UDP 用户数据报IP 数据报2222字节发送在前 安全问题 可以用来发起风暴型拒绝服务攻击，也可以进行网络扫描UDP八、TCP协议及其安全性分析TCP目 的 端 口数据偏移检 验 和选 项 （长 度 可 变）源 端 口序 号紧 急 指 针窗 口确 认 号保 留FIN32 bitTCP首部20

24、字节的固定首部SYNRSTPSHACKURG比特 0 8 16 24 31填 充TCP 数据部分TCP 首部TCP 报文段IP 数据部分IP 首部发送在前TCP协议TCP协议 安全性分析 网络扫描 拒绝服务（DoS）攻击 TCP会话劫持攻击TCP协议 端口扫描TCP协议 端口扫描：TCP Connect扫描 TCP SYN扫描 TCP FIN扫描 Xmas扫描和Null扫描TCP协议 DDoS攻击：TCP SYN FloodingTCP协议 连接劫持：TCP协议只要TCP包中的源端口、目的端口、Seq、Ack正确，即可被正确接收。当得到入侵者构造的TCP数据包，协议会假设数据包是来源于TCP连

25、接中另一方的合法数据包，并且发送响应包到（入侵者构造的数据包中设置的IP地址）。随后，原来的TCP连接会由于计数器不匹配而断开连接。连接劫持：TCP协议关键：猜测Seq、Ack，如果是旁路劫持还需猜测源端口号 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议 连接劫持：TCP协议USENIX SECURITY 2016 连接劫持：TCP协议USENIX SECURITY 2016RFC 5961 连接劫持：TCP协议USENIX SECURITY

26、2016 连接劫持：TCP协议USENIX SECURITY 2016GeekPwn2016 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：TCP协议USENIX SECURITY 2018 连接劫持：

27、TCP协议USENIX SECURITY 2018GeekPwn2017SSL/TLS IP/IPSec TCP HTTP FTP SMTP IP TCP HTTP FTP SMTP IP UDP SSL or TLS TCP Kerberos SMTP HTTP S/MIME (a)网络层(b)传输层(c)应用层SSL/TLS九、DNS协议及其安全性分析DNS 递归查询DNS 递归与迭代相结合的查询DNS根域名服务器本地域名服务器本地域名服务器本地域名服务器IP()=?IP()=(198.54.23.15)安全问题DNS 一、协议脆弱性 域名欺骗：域名系统(包括 DNS 服务器和解析器)接收

28、或使用来自未授权主机的不正确信息，事务 ID 欺骗和缓存投毒DNS安全威胁 一、协议脆弱性 域名欺骗：域名系统(包括 DNS 服务器和解析器)接收或使用来自未授权主机的不正确信息，事务 ID 欺骗和缓存投毒DNS安全威胁 一、协议脆弱性 USENIX Security 2020：郑晓峰等，Poison Over Troubled Forwarders:A cache Poisoning Attack Targeting DNS Forwarding Devices。提出了针对DNS协议设计的一种新的攻击方法，可以针对广泛部署的DNS转发服务（如家用WiFi路由器、公共Wi-Fi等场景）实现缓存

29、污染攻击，D-Link、Linksys、微软DNS、开源软件dnsmasq等多个知名品牌的产品或系统可能受到该攻击的影响。DNS安全威胁 一、协议脆弱性 域名欺骗：域名系统(包括 DNS 服务器和解析器)接收或使用来自未授权主机的不正确信息，事务 ID 欺骗和缓存投毒DNS安全威胁 一、协议脆弱性 网络通信攻击：针对 DNS 的网络通信攻击主要是DDoS攻击、恶意网址重定向和中间人(man-in-the-middle,MITM)攻击DNS安全威胁2016，DNS服务Dyn被DDoS攻击2013，DNS被用于反射DDoS 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等

30、USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一

31、、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁段海新等USENIX2018 一、协议脆弱性 网络通信攻击：DNS域名解析过程劫持DNS安全威胁 二、实现脆弱性 DNS 软件，BIND 的漏洞和缺陷无疑会给 DNS 系统带来严重的威胁，其缓冲区溢出漏洞一度占据 UNIX 及 Linux 操作系统相关安全隐患的首位DNS安全威胁 三、操作脆弱性 由于人为操作或配置错误所带来的安全隐患：域名配置攻击、域名注册攻击和信息泄漏等DNS安全威胁 DNSSEC 域名欺骗、恶意网址重定向和中间人攻

32、击之所以能够成功，是因为DNS 解析的请求者无法验证它所收到的应答信息的真实性和完整性。为应对上述安全威胁，IETF提出了DNS安全扩展协议（DNSSEC）。DNSSEC DNSSEC基本思想 依赖于数字签名和公钥系统去保护 DNS 数据的可信性和完整性：权威域名服务器用自身的私钥来签名资源记录，然后解析服务器用权威域名服务器的公钥来认证来自权威域名服务器的数据，如果认证成功，则表明接收到的数据确实来自权威域名服务器，则解析服务器接收数据，如果认证失败，则表明接收到的数据很可能是伪造的，则解析服务器抛弃数据DNSSECDNS加密(DNSCrypt)十、HTTP协议及其安全性分析HTTP 安全问

33、题 HTTP协议传输的数据都是未加密的，也就是明文，再通过不加密的TCP协议传输，因此使用HTTP协议传输的隐私信息非常不安全，同时还存在不能有效抵御假冒服务器的问题 无状态使攻击变得容易HTTP 安全问题 互联网中存在的大量中间盒子，HTTP标准(RFC 2616和RFC 7320)的理解如果不一致，就有可能导致一些新的攻击发生HTTP HTTPS 将HTTP和SSL/TLS协议结合起来后，既能够对网络服务器的身份进行认证，又能保护交换数据的机密性和完整性 使用HTTPS就安全了吗？（将在第11章介绍）HTTPS内容提纲网络体系结构的脆弱性2典型网络协议的脆弱性3计算机系统安全分析4计算机网

34、络概述1计算机系统 计算机硬件安全 因设计不当、器件的质量及使用寿命的限制、外界因素等导致的计算机系统硬件出现故障，进而影响到整个系统的安全。特别是如果是CPU出现安全漏洞，将带来严重后果，修复的难度和代价更高：Meltdown（熔毁）和Specter（幽灵）计算机系统的安全风险操作系统键盘鼠标显示器磁盘网络打印机驱动程序驱动程序驱动程序驱动程序系统内核系统扩展应用应用应用应用环境系统环境硬件设备系统服务硬件抽象 Windows操作系统 Windows操作系统 Linux操作系统系统调用接口用户内核内存管理中断处理硬件平台进程调度进程通信机制虚拟文件系统VFS虚拟文件系统VFS网络支持I/O子

35、系统操作系统服务用户应用程序 Android操作系统软件安全漏洞 在系统的设计、开发过程中有如下因素会导致系统、软件漏洞：系统基础设计错误导致漏洞 编码错误导致漏洞 安全策略实施错误导致漏洞 实施安全策略对象歧义导致漏洞 系统设计实施时相关人员刻意留下后门 软件安全漏洞 漏洞不仅存在，而且层出不穷，Why?方案的设计可能存在缺陷 从理论上证明一个程序的正确性是非常困难的 一些产品测试不足，匆匆投入市场 为了缩短研制时间，厂商常常将安全性置于次要地位 系统中运行的应用程序越来越多，相应的漏洞也就不可避免地越来越多 软件安全漏洞 漏洞不仅存在，而且层出不穷，Why?软件安全漏洞 漏洞不仅存在，而且

36、层出不穷，Why?软件安全漏洞 打补丁不是万能的，Why?由于漏洞太多，相应的补丁也太多，补不胜补 有的补丁会使某些已有功能不能使用，导致拒绝服务 有时补丁并非厂商们所宣称的那样解决问题 很多补丁一经打上，就不能卸载，如果发现补丁因为这样或那样的原因不合适，就只好把整个软件卸载，然后重新安装，非常麻烦 漏洞的发现到补丁的发布有一段时间差，此外，漏洞也可能被某些人发现而未被公开，这样就没有相应的补丁可用 软件安全漏洞 打补丁不是万能的，Why?（Cont.）网络、网站增长太快，没有足够的合格的补丁管理员 有时候打补丁需要离线操作，这就意味着关闭该机器上的服务，这对很多关键的服务来说也许是致命的 有时补丁并非总是可以获得，特别是对于那些应用范围不广的系统，生产厂商可能没有足够的时间、精力和动机去开发补丁程序 软件安全漏洞 打补丁不是万能的，Why?（Cont.）厂商通常可能在补丁中除解决已有问题之外添加很多的其他功能，这些额外的功能可能导致新漏洞的出现、性能下降、服务中断或者出现集成问题和安全功能的暂时中断等 补丁的成熟也需要一个过程，仓促而就的补丁常常会有问题 自动安装补丁也有它的问题，很多自动安装程序不能正常运行 本章小结作业