信息服务器安全方案(维护篇)

服服务务器信息安全器信息安全维护维护方案方案 1 设计方案概述 3 1 1 系统应用背景 3 1 2 方案设计原则 3 1 3 安全维护目标 4 2 硬件维护 4 2 1 机房环境检测 4 2 2 服务器清洁 5 2 3 电源检测 5 2 4 硬件检查 5 3 基础服务的维护 6 3 1 操作系统 6 3 2 WEB 服务 7 4 服务器入侵检测 7 4 1 查看服务器状态 7 4 2 检查当前进程情况 8 4 3 检查系统帐号 8 4 4 查看当前端口开放情况 8 4 5 检查系统服务 9 4 6 查看相关日志 9 4 7 检查系统文件 10 4 8 检查安全策略是否更改 10 4 9 检查目录权限 10 4 10 检查启动项 11 4 11 发现入侵时的应对措施 11 5 漏洞扫描 12 5 1 漏洞的概念 12 5 2 漏洞的类型 13 5 3 漏洞对网络安全的影响 17 5 4 漏洞与后门的区别 18 5 5 漏洞扫描器 19 6 软件升级维护 25 7 数据与文件备份 26 8 性能优化 26 9 服务支持 27 1 设计设计方案概述方案概述 1 1 系系统应统应用背景用背景 随着人们对网络的使用越来越普及 网络给我们带来许多方便的 同时 在网络中承担众多功能的服务器也带来了许多风险和挑战 服 务器是一种性能较高的计算机 作为网络的节点 存储 处理网络上 80 的数据 信息 因此也被称为网络的灵魂 当服务器因各种故障或者受攻击入侵时 它提供的服务会受到严 重影响甚至会中断 存储的数据信息也可能会丢失 被盗等等 造成 的损失是无法估算的 例如 在 1999 时被称为 世界头号黑客 的凯 文 米特尼克曾经的侵入行为就导致包括 Sun 等高科技公司共受大约 2 亿 9000 万美元的损失 服务器系统维护可以让服务器变得更安全 更稳定 更高效 因此 服务器的信息安全维护十分重要 1 2 方案方案设计设计原原则则 方案设计原则是不改变原有工作网络拓朴 并且本着高质量 高稳 定性 高性价比的方针 使服务器信息安全维护工作能够完美地融合 到原有网络系统中去 不影响到原有网络的业务流量带宽 也不给网 络造成性能上的瓶颈点 服务器维护要从硬件维护和软件维护两方面入手 硬件是软件的 物质基础 只有确保硬件系统的正常 服务器才可以运行 服务器中 的软件是服务器的灵魂 因此软件系统维护对服务器的安全稳定高效 起着关键性的作用 1 3 安全安全维护维护目目标标 本项目建设的目标是通过专业的技术人员对处于 DMA 区的 16 台 服务器进行全面的信息安全维护 进一步加强与完善网络安全体系 主要目标有以下几方面 1 硬件维护 除尘 静电 设备的检查等 2 基础服务维护 操作系统 WEB 服务 FTP 服务 数据库等 3 服务器入侵检测 进程 服务 日志 文件等 4 服务器漏洞扫描 漏洞扫描 漏洞修复 本地策略等 5 软件升级维护 杀毒软件 防火墙 程序补丁等 6 数据与文件备份 操作系统 数据库 网页 应用程序备份 2 硬件 硬件维护维护 2 1 机房 机房环环境境检测检测 温度与湿度 最佳工作温度 20 25 摄氏度 极限工作温度 10 40 摄氏度 湿度 8 80 在 23 摄氏度条件下 2 2 服 服务务器清器清洁洁 机房应保持服务器清洁 若空气灰尘过多 很容易造成资源读写 错误及磁盘机中磁盘或读写磁头毁损 本次维护将对所有服务器进行 一次硬件检测和除尘工作 2 3 电电源源检测检测 电 压 要求电压稳定 尖峰电压会损坏设备 电压范围 220V 10 即 200 240V 50 60Hz 电源功率 视机器类型和系统配置而定 电源线 标准的零 地 火接线 其中零地电压不得超过 3 0V 电源接驳 用符合电流要求的空气开关或其他设备和主机电源线接 驳 保证计算机系统的可靠工作应使用稳压电源和 UPS 对于冗于电 源的接入 采用两路单独输入 2 4 硬件 硬件检查检查 检查服务器 磁盘阵列的安装 电源线主机接线符合要求 服务器状态检查 当服务器处于启动和正常工作状态时 其前面板上的液晶显示屏 上应无信息显示 当液晶显示器上出现带数字和字母的信息时 说明有硬件告警 可以通过查询相关机型的面板报警数字信息查到相应告警原因 情况 严重的 则要立即通知服务器厂商进行问题排查 当服务器的状态灯出现橙黄色时 说明有硬件告警 此时要检查磁柜 的电源 接线 硬盘等 如果有硬件故障则立即进行更换和更正 如果 查不出具体问题 则需要联系相关厂商进一步诊断 当硬盘工作正常时 与各硬盘对应的硬盘灯会呈绿色 如无读写 则绿灯一直亮 如该硬盘有读写操作 则绿灯会不规则闪烁 当硬盘 损坏时或 RAID 出现问题时 则硬盘状态灯将熄灭 或者呈闪烁状态 以 1 3 秒的频率有规律地 不停地闪烁 3 基 基础础服服务务的的维护维护 3 1 操作系操作系统统 Windows 系统安装在 NTFS 分区 安装系统补丁 扫描漏洞全面杀毒 删除 Windows Server 默认共享 禁用 IPC 连接 删除和关闭不需要的协议和服务 启用 windows 连接防火墙 只开放相应功能的服务端口 3 2 WEB 服服务务 iis 配置 在应用程序设置中执行权限设为无 在需要的目录里再更 改 目录不在系统盘 注 为支持 将系统盘 Inetpub wwwroot 中的 aspnet client 文件夹复制到 web 根目录下 并给 web 根目录加 上 users 权限 删掉系统盘 inetpub 目录 删除不用的映射 在 应用程序配置 里 只给必要的脚本执行权限 ASP ASPX 4 服 服务务器入侵器入侵检测检测 作为服务器的日常管理 入侵检测是一项非常重要的工作 在平 常的检测过程中 主要包含日常的服务器安全例行检查和遭到入侵时 的入侵检查 也就是分为在入侵进行时的安全检查和在入侵前后的安 全检查 系统的安全性遵循木桶原理 木桶原理指的是 一个木桶由 许多块木板组成 如果组成木桶的这些木板长短不一 那么这个木桶 的最大容量不取决于长的木板 而取决于最短的那块木板 应用到安 全方面也就是说系统的安全性取决于系统中最脆弱的地方 这些地方 是日常的安全检测的重点所在 安全检测主要针对系统的安全性 工作主要按照以下步骤进行 4 1 查查看服看服务务器状器状态态 打开进程管理器 查看服务器性能 观察 CPU 和内存使用状况 查看是否有 CPU 和内存占用过高等异常情况 4 2 检查检查当前当前进进程情况程情况 切换 任务管理器 到进程 查找有无可疑的应用程序或后台进程 在运行 用进程管理器查看进程时里面会有一项 taskmgr 这个是进程管理器自身的进程 如果正在运行 windows 更新会有一项 wuauclt exe 进程 通常的后门如果有进程的话 一般会 取一个与系统进程类似的名称 如 svch0st exe 此时要仔细辨别 通常 迷惑手段是变字母 o 为数字 0 变字母 l 为数字 1 4 3 检查检查系系统帐统帐号号 打开计算机管理 展开本地用户和组选项 查看组选项 查看 administrators 组是否添加有新帐号 检查是否有克隆帐号 4 4 查查看当前端口开放情况看当前端口开放情况 使用 activeport 查看当前的端口连接情况 尤其是注意与外部连 接着的端口情况 看是否有未经允许的端口与外界在通信 如有 立 即关闭该端口并记录下该端口对应的程序并记录 将该程序转移到其 他目录下存放以便后来分析 打开计算机管理 软件环境 正在 运行任务 在此处可以查看进程管理器中看不到的隐藏进程 查看当 前运行的程序 如果有不明程序 记录下该程序的位置 打开任务管 理器结束该进程 对于采用了守护进程的后门等程序可尝试结束进程 树 如仍然无法结束 在注册表中搜索该程序名 删除掉相关键值 切 换到安全模式下删除掉相关的程序文件 4 5 检查检查系系统统服服务务 运行 services msc 检查处于已启动状态的服务 查看是否有新加 的未知服务并确定服务的用途 对于不清楚的服务打开该服务的属性 查看该服务所对应的可执行文件是什么 如果确定该文件是系统内的 正常使用的文件 可粗略放过 查看是否有其他正常开放服务依存在 该服务上 如果有 可以粗略的放过 如果无法确定该执行文件是否 是系统内正常文件并且没有其他正常开放服务依存在该服务上 可暂 时停止掉该服务 然后测试下各种应用是否正常 对于一些后门由于 采用了 hook 系统 API 技术 添加的服务项目在服务管理器中是无法 看到的 这时需要打开注册表中的 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services 项进行查找 通过查看各服务 的名称 对应的执行文件来确定是否是后门 木马程序等 4 6 查查看相关日志看相关日志 运行 eventvwr msc 粗略检查系统中的相关日志记录 在查看时在 对应的日志记录上点右键选 属性 在 筛选器 中设置一个日志筛选 器 只选择错误 警告 查看日志的来源和具体描述信息 对于出现的 错误如能在服务器常见故障排除中找到解决办法则依照该办法处理 该问题 如果无解决办法则记录下该问题 详细记录下事件来源 ID 号和具体描述信息 以便找到问题解决的办法 4 7 检查检查系系统统文件文件 主要检查系统盘的 exe 和 dll 文件 建议系统安装完毕之后用 dir exe s 1 txt 将 C 盘所有的 exe 文件列表保存下来 然后每次检查的 时候再用该命令生成一份当时的列表 用 fc 比较两个文件 同样如此 针对 dll 文件做相关检查 需要注意的是打补丁或者安装软件后重新 生成一次原始列表 检查相关系统文件是否被替换或系统中是否被安 装了木马后门等恶意程序 必要时可运行一次杀毒程序对系统盘进行 一次扫描处理 4 8 检查检查安全策略是否更改安全策略是否更改 打开本地连接的属性 查看 常规 中是否只勾选了 TCP IP 协议 打开 TCP IP 协议设置 点 高级 选项 查看 IP 安全机制 是否 是设定的 IP 策略 查看 TCP IP 筛选允许的端口有没有被更改 打开 管理工具 本地安全策略 查看目前使用的 IP 安全策略是否发 生更改 4 9 检查检查目目录权录权限限 重点查看系统目录和重要的应用程序权限是否被更改 如 c winnt C winnt system32 c winnt system32 inetsrv c winnt system32 inetsrv data c documents and Settings 然后再检查 serv u 安装目录 查 看这些目录的权限是否做过变动 检查 system32 下的一些重要文件 是否更改过权限 包括 cmd net ftp tftp cacls 等文件 4 10 检查检查启启动项动项 主要检查当前的开机自启动程序 可以使用 AReporter 来检查开 机自启动的程序 4 11 发现发现入侵入侵时时的的应对应对措施措施 对于即时发现的入侵事件 以下情况针对系统已遭受到破坏情况 下的处理 系统未遭受到破坏或暂时无法察觉到破坏 先按照上述的 检查步骤检查一遍后再酌情考虑以下措施 系统遭受到破坏后应立即 采取以下措施 视情况严重决定处理的方式 是通过远程处理还是通过实地处理 如情况严重建议采用实地处理 如采用实地处理 在发现入侵的第一 时间通知机房关闭服务器 待处理人员赶到机房时断开网线 再进入 系统进行检查 如采用远程处理 如情况严重第一时间停止所有应用 服务 更改 IP 策略为只允许远程管理端口进行连接然后重新启动服 务器 重新启动之后再远程连接上去进行处理 重启前先用 AReporter 检查开机自启动的程序 然后再进行安全检查 系统配置 记忆非法账号登录信息和自动跟踪恶意攻击记录 这样我们就可以针 对我们网络中存在的各种问题有针对性的部署我们的管理策略 如果只是 WEB 站点被入侵但未危及系统的情况 需要加固 WEB 站点的安全 站点根目录 只给 administrator 读取权限 权限继承下去 wwwroot 给 web 用户读取 写入权限 高级里面有删除子文 件夹和文件权限 logfiles 给 system 写入权限 database 给 web 用户读取 写入权限 高级里面没有删除子文 件夹和文件权限 如需要进一步修改 可针对站点的特性对于普通文件存放目录 如 html js 图片文件夹只给读取权限 对 asp 等 脚本文件给予上表中的权限 另外查看该用户站点对应的安全日 志 找出漏洞原因 修补程序漏洞 5 漏洞 漏洞扫扫描描 5 1 漏洞的概念 漏洞的概念 在计算机网络安全领域 漏洞 是指硬件 软件或策略上的缺陷 这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访 问权限 有了这种访问权限 非法用户就可以为所欲为 从而造成对 网络安全的威胁 其实 每个平台无论是硬件还是软件都存在漏洞 各种操作系统 存在安全漏洞 Internet Intranet 使用的 TCP IP 协议以及 FTP E mail RPC 和 NFS 等都包含许多不安全的因素 也存在安全漏洞 数 据库管理系统存在安全漏洞等等 总而言之 绝对安全的事物是没有的 计算机网络领域要达到绝 对安全也是不可能的 但是 可以努力使其安全漏洞减少到最小的程 度 提高其安全等级 5 2 漏洞的 漏洞的类类型型 安全漏洞存在不同的类型 包括 允许拒绝服务的漏洞 允许有限 权限的本地用户未经授权提高其权限的漏洞 允许外来团体 在远程 主机上 未经授权访问网络的漏洞 1 允 允许许拒拒绝绝服服务务的漏洞的漏洞 拒绝服务 是一种常见的恶作剧式的攻击方式 它使服务器忙于 处理一些乱七八糟的任务 消耗大量的处理时间 以至于服务器无暇 顾及用户的请求 允许拒绝服务的漏洞则可能导致拒绝服务发生 该类漏洞的等级 允许拒绝访问的漏洞属于 类 是不太重要的漏洞 该类漏洞存在的原因 这些漏洞存在于操作系统网络传送本身 是操 作系统软件本身存在的漏洞 该类漏洞弥补的方法 当存在这种漏洞时 必须通过软件开发者 或销售商的弥补予以纠正 该类漏洞产生的影响 对于大的网络或站点 拒绝服务或攻击只 是有限的影响 最多不过是使人心烦而已 然而对于小的站点 可能 会受到拒绝服务的重创 特别对于站点只是一台单独的机器 单独的 邮件或新闻服务器 更是如此 该类漏洞受到的攻击 拒绝服务攻击是一类人或多人利用 Internet 协议组的某些方面拒绝其他用户对系统或信息进行合法的访 问的攻击 在 TCP SYN 攻击中 连接请求大量的传给服务器 导致其 请求信息被淹没 结果是服务器反应很慢或不可到达 从而使用户不 知所措 还有其他形式的拒绝服务的攻击 某些拒绝服务攻击的实现 可以针对个人而不是针对网络用户的 这种类型的攻击不涉及任何 bug 或漏洞 而是利用了 WWW 的基本设计 并非每个拒绝服务攻击都需要在 Internet 发起 有许多在本地机 甚至在没有网络环境的情况下发生的拒绝服务攻击 2 允 允许许有限有限权权限的本地用限的本地用户户未未经经授授权权提高其提高其权权限的漏洞限的漏洞 该类漏洞的等级 这类漏洞是允许本地用户非法访问的漏洞 属 类 这类漏洞危险性很大 该类漏洞存在的原因 允许本地用户非法访问的漏洞一般在多种 平台的应用程序中发现 由应用程序中的一些缺陷引起 有些常见的 编程错误导致这种漏洞的产生 例如 众所周知的 Sendmail 问题 Sendmail 可能是世界上发送电子邮件最盛行的方法 是 Internet 的 E mail 系统的中心 这个程序一般在启动时作为例程初始化并且只要 机器可用它也可用 在活动可用状态下 Sendmail 在端口 25 侦听网 络空间上的发送和请求 当 Sendmail 启动时 它一般要求检验用户的 身份 因为只有 root 有权启动和维护 Sendmail 程序 其他有相同权 限的用户也可这样做 但也只是这些内容 然而 根据 CERT 咨询处 的 Sendmail Daemon Mode Vulnerability 很遗憾 由于一个代码错误 Sendmail 在例程模式下可以以一种绕 过潜入的方式激活 当绕过检查后 任何本地用户都可以在例程下启 动 Sendmail 另外 在 8 7 版本中 Sendmail 收到一个 SIGHUP 信号 时会重启 它通过使用 exec 2 系统调用重新执行自己来重新开始操 作 重新执行作为 root 用户实现 通过控制 Sendmail 环境 用户可以 用 root 权限让 Sendmail 运行任意的程序 因此 本地用户获得一种形 式的 root 访问 这些漏洞是很常见的 差不多每月都有一次 Sendmail 以这些漏洞而出名 但却不是唯一的现象 也不是 UNIX 自 身的问题 该类漏洞补救的方法 允许本地用户非法访问的漏洞很可能检查 出入侵者 特别是在入侵者没有经验的情况下更是如此 系统管理员 通过运行强有力的登录工具 可使入侵者很难逃避检查 除非入侵者 有较多的专业知识 该类漏洞产生的影响 允许本地用户非法访问的漏洞所产生的影 响是很大的 像 Sendmail 这样的程序中的漏洞特别重要 因为这些程 序对网上所有的用户都是可用的 所有用户都至少有使用 Sendmail 程序的基本权限 如果没有的话 他们没法发送邮件 因此 Sendmail 中的任何 bug 或漏洞都是十分危险的 该类漏洞受到的攻击 权限有限的本地用户在未经授权的情况下 通过各种手段提高其访问权限 这种攻击对系统安全威胁很大 3 允 允许许外来外来团团体未体未经经授授权访问权访问网网络络的漏洞的漏洞 该类漏洞的等级 这类漏洞即允许过程用户未经授权访问的漏洞 属于 A 类 类漏洞是威胁性最大的一种漏洞 该类漏洞存在的原因 大多数的 类漏洞是由于较差的系统管理 或设置有误造成的 典型的设置错误 或设置失败 是任何存放在驱动 器上的例子脚本 这种漏洞在网络上重现过无数次 包括那些在 Web 服务器版本中的文件 这些脚本有时会为来自网络空间的侵入者提供 有限的访问权限甚至 root 的访问权限 如 test cgi 文件的缺陷是允 许来自网络空间的侵入者读取 CGI 目录下的文件 该类漏洞补救的方法 建议删掉这些脚本 例如 Novell 平台的 一种 HTTP 服务器含有一个称作 Convert bas 的例子脚本 这个用 BASIC 编写的脚本 允许远程用户读取系统上的任何文件 删除该脚 本 即可避免远程用户读取系统上的任何文件 该类漏洞产生的影响 这类漏洞从外界对系统造成严重的威胁 在许多情况下 如果系统管理员只运行了很少的日志的话 这些攻击 可能会不被记录 使捉获更为困难 搜索器的重要目的即为检查这些漏洞 因此 尽管安全性程序员 把这些漏洞包含进他们的程序中作为检查的选择 但他们经常是在攻 击者几个月之后才这样做 某些漏洞 比如说允许拒绝服务的 synflooding 漏洞不容易弥补 系统管理员目前必须得学会在这些不 尽人意的漏洞下工作 使形势更为困难的是非 UNIX 平台的漏洞要花更多的时间才会 表现出来 许多 NT 的系统管理员不运行重日志文件 为报告漏洞 他们必须首先有漏洞存在的证据 另外 新的系统管理员 在 IBM 兼 容机中 这样的管理员占很大比例 没有对文档和报告安全性事故做 好准备 这意味着漏洞出现后 被测试 重建测试环境及最后加入到 搜索器前的时间浪费了 该类漏洞受到的攻击 入侵者利用脚本获取访问权 例如 Microsoft 的 Internet 信息服务器 IIS 包含一个允许任何远程用户执 行任意命令的漏洞 问题是 IIS HTTP 将所有 bat 或 cmd 后缀的文件 与 cmd exe 程序联系起来 入侵者如果能够执行 cmd exe 文件 那么 他就可以执行任何命令 读取任意分区的任意文件 认为 IIS user 可 以读取并执行此文件等等 Netscape 通信和 Netscape 商业服务器也 都有相类似的 bug 对干 Netscape 服务使用 BAT 或 CMD 文件作为 CGI 脚本则会发生类似的事情 5 3 漏洞 漏洞对对网网络络安全的影响安全的影响 1 漏洞影响 Internet 的可靠性和可用性 Internet 网络的脆弱性也是一种漏洞 Internet 是逐步发展和演变 而来的 其可靠性和可用性存在很多弱点 特别是在网络规模迅速扩 大 用户数目猛增 业务类型多样化的情况下 系统资源的不足成为 一个瓶颈 而系统和应用工具可靠性的弱点也逐渐暴露出来 随着经 济和管理活动对网络依赖程度的加深 网络的故障和瘫痪将会给国家 组织和企业造成巨大的损失 2 漏洞 漏洞导导致致 Internet 上黑客入侵和上黑客入侵和计计算机犯罪算机犯罪 黑客攻击早在主机终端时代就已经出现 随着 Internet 的发展 现代黑客则从以系统为主的攻击转变到以网络为主的攻击 形形色色 的黑客和攻击者利用网络上的任何漏洞和缺陷进行攻击 例如 通过 网络监听获取网上用户的账号和密码 监听密钥分配过程 攻击密钥 管理服务器 得到密钥或认证码 从而取得合法资格 利用 UNIX 操 作系统提供的守护进程的缺省账户进行攻击 如 Telnet Daemon FTP Daemon 和 RPC Daemon 等 利用 Finger 等命令收集信息 提高自己 的攻击能力 利用 SendMail 采用 debug wizard 和 pipe 等进行攻击 利用 FTP 采用匿名用户访问进行攻击 利用 NFS 进行攻击 通过隐 蔽通道进行非法活动 突破防火墙等等 显然黑客入侵和计算机犯罪 给 Internet 的安全造成了严重的威胁 3 漏洞致使 漏洞致使 Internet 遭受网遭受网络络病毒和其它病毒和其它软软件的攻件的攻击击 计算机病毒被发现十多年来 其种类正在以几何级数增长 而且 病毒的机理和变种不断演变 为检测和消除带来了更大的难度 成为 计算机和网络发展的一大公害 它破坏计算机的正常工作以及信息的 正常存储 严重时 可以使计算机系统陷于瘫痪 特洛伊木马也是一 种极常用的攻击方法 这种攻击常常在程序中声称做某件事 而实际 上做另一种用户不想做的事情 简单的特洛伊木马只是窃取口令 获 得非法的访问 严重的甚至会完全删除磁盘上的文件 总之 漏洞对于 Internet 安全性的影响是非常严重的 不对漏洞进行 补救 将严重的制约 Internet 的健康发展 5 4 漏洞与后 漏洞与后门门的区的区别别 漏洞与后门是不同的 漏洞是难以预知的 后门则是人为故意设 置的 后门是软硬件制造者为了进行非授权访问而在程序中故意设置 的万能访问口令 这些口令无论是被攻破 还是只掌握在制造者手中 都对使用者的系统安全构成严重的威胁 早期的报道中就有怀疑微软的操作系统藏有后门的文章 为此 微软也一再宣称要公布其源代码 以使公众放心 为了防止后门对系 统构成安全威胁 国家也专门制定了法律 禁止进口安全产品 5 5 漏洞 漏洞扫扫描器描器 1 扫扫描器描器简简介介 扫描器是自动检测远程或本地主机安全性漏洞的程序包 使用扫 描器 不仅可以很快地发现本地主机系统配置和软件上存在的安全隐 患 而且还可以不留痕迹地发现远在另一个半球的一台主机的安全性 漏洞 这种自动检测功能快速而准确 扫描器和监听工具一样 不同的人使用会有不同的结果 如果系 统管理员使用了扫描器 它将直接有助于加强系统安全性 而对于黑 客来说 扫描器是他们进行攻击入手点 不过 由于扫描器不能直接 攻击网络漏洞 所以黑客使用扫描器找出目标主机上各种各样的安全 漏洞后 利用其他方法进行恶意攻击 扫描器的运行对系统有一定的要求 系统要求取决于扫描器 操 作系统以及与 Internet 的连接 比如 某些扫描器都是专为 UNIX 编 写的 所以需要 UNIX 系统 有些扫描器只能在 Linux 上运行 扫描器 能够很好地运行 需要主机有较快的速度 对 RAM 要求足够大容量 这主要与使用的扫描器有关 一般行命令扫描器不大占用内存 而基 于窗口的扫描器会需要大量内存 目前流行的扫描器有 NSS 网络安全扫描器 stroke 超级优化 TCP 端口检测程序 可记录指定机器的所有开放端口 SATAN 安全 管理员的网络分析工具 JAKAL XSCAN 等 2 端口 端口扫扫描描 如果利用端口扫描程序扫描网络上的一台主机 这台主机运行的 是什么操作系统 该主机提供了那些服务 便一目了然 在一般情况下在 Windows NT 和 Windows 2003 中 只在几个非常有 限的端口提供服务 服务 FTPSMTPTelnet SQL 数据库远程桌面 HTTP 端口 2125231433338980 公共端口及其对应服务或应用程序 端口扫描程序对于系统管理人员 是一个非常简便实用的工具 端口扫描程序可以帮助系统管理员更好地管理系统与外界的交互 当 系统管理员扫描到 Finger 服务所在的端口号 79 tcp 时 便应想到这 项服务是否关闭 假如原来是关闭的 现在又被扫描到 则说明有人 非法取得了系统管理员的权限 改变了 inetd conf 文件中的内容 因 为这个文件只有系统管理员可以修改 这说明系统的安全正在受到侵 犯 如果扫描到一些标准端口之外的端口 系统管理员必须清楚这些 端口提供了一些什么服务 是不是允许的 许多系统就常常将 WWW 服务的端口放在 8000 端口 或另一个通常不用的端口上 系统管理 员必须知道 8000 或另一个端口被 WWW 服务使用了 不过 端口扫描有时也会忽略一些不常用的端口 例如 许多黑 客将为自己开的后门设在一个非常高的端口上 使用了一些不常用的 端口 就容易被端口扫描程序忽略 黑客通过这些端口可以任意使用 系统的资源 也为他人非法访问这台主机开了方便之门 常用端口扫描 TCP connect 的扫描 作为最基本的扫描方式 该扫描利用系统提供的 connect 调用建立 与目标主机的端口的连接 它不仅速度快 而且可以同时连接多个端 口 TCP SYN 扫描 这种扫描通常称为半开扫描 它的特点是很少有主机记录这种请求 只有具有超级用户权限的用户才能建立这种可以配置 SYN 数据包 TCP FIN 扫描 这种扫描相对来说比较隐蔽 因为关闭的端口将会用正确的 RST 来 应答发送的 FIN 数据包 而相反 打开的端口往往会忽略这些请求 正是这些打开的端口容易受到监视 因此 相对说来 其隐蔽性较高 Fragmentation 扫描 这是一种超小数据包的扫描 它将要发送的数据包包成非常小的 IP 包 通过 TCP 包头分成几段 放入不同 IP 包中 使得过滤程序难以 过滤 因此容易作到自己想要的扫描 ICMP 扫描 这并不是一个真正的端口扫描 因为 ICMP 并没有端口的抽象 然而 应用 PING 命令可以得到目标主机上正在运行的一些信息 3 常用的 常用的扫扫描工具描工具 网络分析工具 SATAN SATAN 是 Security Administrator Tool for Analyzing Networks 的 缩写 是安全管理员的网络分析工具 SATAN 是一个分析网络的安全管理和测试 报告工具 它用来 收集网络上主机的许多信息 并可以识别且自动报告与网络相关的安 全问题 对所发现的每种问题类型 SATAN 都提供对这个问题的解 释以及它可能对系统和网络安全造成的影响的程度 通过所附的资料 它还解释如何处理这些问题 需要说明的是 SATAN 比一般扫描工具需要更多的资源 尤其是在 内存和处理器功能方面要求更高 对于没有强大的视频支持或内存资 源有限的主机 SATAN 可以通过命令行来运行 使用 SATAN 可以扫描目标主机的许多已知安全漏洞 比如 FTPD 脆弱性及 FTP 目录是否可写 NFS 脆弱性 向任何主机调出的 NFS 文件系统 NIS 脆弱性 NIS 口令文件可被任何主机访问 RSH 脆弱性 从任何主机上的 REXD 访问 Sendmail 服务器脆弱性 在老的 8 6 10 前版本的 Sendmail 服务器访问控制无效 借助 FTPD 的对任意文件的访问 可写匿名 FTP 根目录 但是 SATAN 并不能发现新的安全漏洞 尽管如此 在构筑或重新配 置完网络之后 使用 SATAN 来检查一下整个网络是否存在安全漏洞 显得非常必要 网络安全扫描器 NSS 网络安全扫描器是一个非常隐蔽的扫描器 如果你用流行的搜索 程序搜索它 你所能发现的入口不超过 20 个 这并非意味着 NSS 使 用不广泛 而是意味着多数载有该扫描器的 FTP 的站点处在暗处 或 无法通过 WWW 搜索器找到它们 NSS 在几个方面都不同于类似的扫描器 其中最令人感兴趣之 处是 NSS 是用 Perl 语言编写的 使用它的用户不需要 编译器 看 上去这似乎是件小事 但实际上不是这样 入侵者一般都是学生出身 学生可以在 UNIX 服务器上获得一个外壳帐户 但并不是每个系统管 理员都允许他的用户访问 编译器 从另一个方面看 Perl 语言在 CGI 编程方面使用广泛 多数用户都可以访问 Perl 这就使得 NSS 成 为一种流行的选择 应该说明的是 多数扫描器是用 编写的源代码 因此 使用它们时需要一个 编译器 NSS 最根本的价值在于它的速度 它运行速度非常快 可以执行 下列常规检查 Sendmail 匿名 FTP NFS 出口 TFTP Hosts equiv Xhost Strobe 超级优化 TCP 端口检测程序 Strobe 是一个 TCP 端口扫描器 它 具有在最大带宽利用率和最小进程资源需求下 迅速地定位和扫描一 台远程目标主机或许多台主机的所有 TCP 监听 端