安全扫描技术培训课件_第1页
安全扫描技术培训课件_第2页
安全扫描技术培训课件_第3页
安全扫描技术培训课件_第4页
安全扫描技术培训课件_第5页
已阅读5页,还剩79页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

安全扫描技术1安全扫描技术110.1安全威胁分析10.1.1入侵行为分析

怎样才算是受到了黑客的入侵和攻击呢?

狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。

广义的定义认为:使网络受到入侵和破坏的所有行为都应被称为“攻击”。本书采用广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻起,攻击就已经发生了。下面我们从以下几个方面对入侵行为进行分析:(1)入侵目的执行过程获取文件和数据获取超级用户权限进行非授权操作使用系统拒绝服务篡改信息披露信息210.1安全威胁分析10.1.1入侵行为分析2(2)实施入侵的人员伪装者:未经授权使用计算机者或者绕开系统访问机制获得合法用户账户权限者。违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问权限错误使用其权利的用户。秘密用户:拥有账户管理权限者,利用这种机制来逃避审计和访问数据库,或者禁止收集审计数据的用户。(3)入侵过程中的各个阶段和各个阶段的不同特点窥探设施顾名思义也就是对环境的了解,目的是要了解目标采用的是什么操作系统,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。攻击系统在窥探设施的工作完成后,入侵者将根据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。掩盖踪迹入侵者会千方百计的避免自己被检测出来。3(2)实施入侵的人员310.1.2安全威胁分析计算机面临的安全威胁有来自计算机系统外部的,也有来自计算机系统内部的。来自计算机系统外部的威胁主要有:自然灾害、意外事故;计算机病毒人为行为,比如使用不当、安全意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务、非法连接等;内部泄密外部泄密信息丢失电子谍报,比如信息流量分析、信息窃取等;信息战;410.1.2安全威胁分析计算机面临的安全威胁有来计算机系统内部存在的安全威胁主要有:操作系统本身所存在的一些缺陷;数据库管理系统安全的脆弱性;管理员缺少安全方面的知识,缺少安全管理的技术规范,缺少定期的安全测试与检查;网络协议中的缺陷,例如TCP/IP协议的安全问题;应用系统缺陷,等等;在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。5计算机系统内部存在的安全威胁主要有:5

攻击的分类方法是多种多样的。这里根据入侵者使用的方式和手段,将攻击进行分类。口令攻击抵抗入侵者的第一道防线是口令系统。几乎所有的多用户系统都要求用户不但提供一个名字或标识符(ID),而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中,入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统。入侵者登陆后,便可以查找系统的其他安全漏洞,来得到进一步的特权。为了避免入侵者轻易的猜测出口令,用户应避免使用不安全的口令。有时候即使好的口令也是不够的,尤其当口令需要穿过不安全的网络时将面临极大的危险。很多的网络协议中是以明文的形式传输数据,如果攻击者监听网络中传送的数据包,就可以得到口令。在这种情况下,一次性口令是有效的解决方法。6攻击的分类方法是多种多样的。这里根据入侵者使

拒绝服务攻击拒绝服务站DOS(DenialofServices)使得目标系统无法提供正常的服务,从而可能给目标系统带来重大的损失。值得关注的是,现实情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来设计的,在现实环境中表现出这种理念的内在缺陷。此外,许多操作系统和网络设备的网络协议栈也存在缺陷,从而削弱了抵抗DOS攻击的能力。下面介绍4种常见的DOS攻击类型及原理。(1)带宽耗用(bandwidth-consumption):其本质是攻击者消耗掉通达某个网络的所有可用带宽。(2)资源耗竭(resource-starvation):一般地说,它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。(3)编程缺陷(programmingflaw):是应用程序、操作系统或嵌入式CPU在处理异常文件上的失败。(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。77利用型攻击利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式:特洛伊木马和缓冲区溢出。(1)特洛伊木马:表面看是有用的软件工具,而实际上却在启动后暗中安装破坏性的软件。(2)缓冲区溢出攻击(BufferOverflow):通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行一段恶意代码,以达到攻击的目的。信息收集型攻击信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的入侵提供必须的信息,这种攻击手段大部分在黑客入侵三部曲中的第一步—窥探设施时使用。

8利用型攻击8假消息攻击攻击者用配备不正确的消息来欺骗目标系统,以达到攻击的目的。常见的假消息攻击形式有以下几种。(1)电子邮件欺骗:对于大部分普通因特网用户来说,电子邮件服务是他们使用的最多的网络服务之一。常见的通过电子邮件的攻击方法有:隐藏发信人的身份,发送匿名或垃圾信件;使用用户熟悉的人的电子邮件地址骗取用户的信任;通过电子邮件执行恶意的代码。(2)IP欺骗:IP欺骗的主要动机是隐藏自己的IP地址,防止被跟踪。(3)Web欺骗:由于Internet的开放性,任何用户都可以建立自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见的Web欺骗的形式有:使用相似的域名;改写URL、Web会话挟持等。(4)DNS欺骗:修改上一级DNS服务记录,重定向DSN请求,使受害者获得不正确的IP地址9假消息攻击9安全扫描技术概论安全扫描技术是指手工的或使用指定的软件工具----安全扫描器,对系统脆弱点进行评估,寻找对系统扫成损害的安全漏洞。扫描可以分为系统扫描和网络扫描两个方面,系统扫描侧重主机系统的平台安全性以及基于此平台的系统安全性,而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。10安全扫描技术概论安全扫描技术是指手工的或使用指定的软件工具-扫描的目的

扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,以利于己方及时修补或发动对敌方系统的攻击。同时,自动化的安全扫描器要对目标系统进行漏洞检测和分析,提供详细的漏洞描述,并针对安全漏洞提出修复建议和安全策略,生成完整的安全性分析报告,为网路管理完善系统提供重要依据。11扫描的目的

扫描的主要目的是通过一定的手段和方法发现系统或网安全扫描器的类型安全扫描其主要有两种类型:(1)本地扫描器或系统扫描器:扫描器和待检系统运行于统一结点,进行自身检测。(2)远程扫描器或网络扫描器:扫描器和待检查系统运行于不同结点,通过网络远程探测目标结点,寻找安全漏洞。12安全扫描器的类型安全扫描其主要有两种类型:12(3)网络扫描器通过网络来测试主机安全性,它检测主机当前可用的服务及其开放端口,查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞,隐患及安全脆弱点。甚至许多扫描器封装了简单的密码探测,可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西,这样的工具就可以称为网络扫描工具包,也就是完整的网络主机安全评价工具[比如鼻祖SATAN和国内最负盛名的流光13(3)网络扫描器通过网络来测试主机安全性,它检测主机当前可用(4).系统扫描器用于扫描本地主机,查找安全漏洞,查杀病毒,木马,蠕虫等危害系统安全的恶意程序,此类非本文重点,因此不再祥细分析

(5).另外还有一种相对少见的数据库扫描器,比如ISS公司的DatabaseScanner,工作机制类似于网络扫描器,主要用于检测数据库系统的安全漏洞及各种隐患。

14(4).系统扫描器用于扫描本地主机,查找安全漏洞,查杀病毒,扫描技术工具信息收集是入侵及安全状况分析的基础,传统地手工收集信息耗时费力,于是扫描工具出现了,它能依照程序设定自动探测及发掘规则内的漏洞,是探测系统缺陷的安全工具。15扫描技术工具信息收集是入侵及安全状况分析的基础,传统地手工收扫描器主要功能(1)端口及服务检测

检测目标主机上开放端口及运行的服务,并提示安全隐患的可能存在与否(2)后门程序检测

检测PCANYWAYVNCBO2K冰河等等远程控制程序是否有存在于目标主机(3)密码探测

检测操作系统用户密码,FTP、POP3、Telnet等等登陆或管理密码的脆弱性16扫描器主要功能(1)端口及服务检测

检测目标主机上开(4)D.o.S探测

检测各种拒绝服务漏洞是否存在(5)系统探测

检测系统信息比如NT注册表,用户和组,网络情况等(6)输出报告

将检测结果整理出清单报告给用户,许多扫描器也会同时提出安全漏洞解决方案(7)用户自定义接口

一些扫描器允许用户自己添加扫描规则,并为用户提供一个便利的接口,比如俄罗斯SSS的BaseSDK1717系统扫描如何提高系统安全性安全扫描器可以通过两种途径提高系统安全性。一是提前警告存在的漏洞,从而预防入侵和误用二是检查系统中由于受到入侵或操作失误而造成的新漏洞。18系统扫描如何提高系统安全性安全扫描器可以通过两种途径提高系统本地扫描器

本地扫描器分析文件的内容,查找可能存在的配置问题。由于本地扫描器实际上是运行于目标结点上的进程,具有以下几个特点:

可以在系统上任意创建进程。为了运行某些程序,检测缓冲区溢出攻击,要求扫描器必须做到这一点。可以检查到安全补丁一级,以确保系统安装了最新的安全解决补丁。可以通过在本地查看系统配置文件,检查系统的配置错误。19本地扫描器本地扫描器分析文件的内容,查找可能存在的配置本地扫描器对Unix系统,需要进行以下项目的检查:系统完整性检查关键系统文件变化检测用户账户变化检测黑客入侵标记检测未知程序版本不常见文件名可疑设备文件未经授权服务弱口令选择检测有安全漏洞程序版本检测标记可被攻击程序报告需要安装的安全补丁检查系统配置安全性全局信任文件20本地扫描器对Unix系统,需要进行以下项目的检查:系统完整性crontab文件rc系统启动文件文件系统mount权限打印服务账户配置组配置检查网络服务安全性是否允许IP转发标记有风险服务FTP配置news服务器配置NFS配置本地扫描器对Unix系统,需要进行以下项目的检查:21crontab文件本地扫描器对Unix系统,需要进行以下项目本地扫描器对Unix系统,需要进行以下项目的检查:邮件服务器配置检查用户环境变量安全性系统文件属主系统文件权限许可文件属主及权限许可sell启动文件用户信任文件应用程序配置文档其他22本地扫描器对Unix系统,需要进行以下项目的检查:邮件服务器本地扫描器对WindowsNT/2000系统,还有一些特定的安全检查项目是否允许建立guest账户guest账户有无口令口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问独立的注册设置对系统文件和目录不正确的分配许可权非NT缺省配置的未知服务运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等带有许可访问控制设置的共享,可能给远程用户全部访问权其他23本地扫描器对WindowsNT/2000系统,还有一些特定远程扫描器远程扫描器检查网络和分布式系统的安全漏洞。远程扫描器通过执行一整套综合的穿透测试程序集,发送精心构造的数据包来检测目标系统。被测系统和扫描器的操作系统可以是同一类型,也可以是不同类型的。24远程扫描器远程扫描器检查网络和分布式系统

远程扫描需要检查的项目很多,这些项目又可以分为以下几大类:远程扫描器25远程扫描需要检查的项目很多,这些项目又可以分为以下安全扫描系统的选择与注意事项①升级问题②可扩充性

③全面的解决方案④人员培训

26安全扫描系统的选择与注意事项26安全扫描技术也许有些计算机安全管理人员开始考虑购买一套安全扫描系统,那么,购买此类产品需要考虑哪些方面呢?27安全扫描技术也许有些计算机安全管理人员开始考虑购买一套安全扫升级问题

由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因,网络软件漏洞层出不穷,这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此,在选择产品时,首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握,同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应

28升级问题由于当今应用软件功能日趋复杂化、软件公司在编写软件可扩充性

对具有比较深厚的网络知识,并且希望自己扩充产品功能的用户来说,应用了功能模块或插件技术的产品应该是首选。

29可扩充性对具有比较深厚的网络知识,并且希望自己扩充产品功能全面的解决方案

前面已经指出,网络安全管理需要多种安全产品来实现,仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统,要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。

30全面的解决方案前面已经指出,网络安全管理需要多种安全产品来人员培训

前面已经分析过,网络安全中人是薄弱的一环,许多安全因素是与网络用户密切相关的,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此,在选择安全扫描产品时,要考虑制造商有无能力提供安全技术培训。

31人员培训前面已经分析过,网络安全中人是薄弱的一环,许多安全10.2.4安全扫描技术分析3210.2.4安全扫描技术分析32扫描器工作过程阶段1:发现目标主机或网络阶段2:进一步发现目标系统类型及配置等信息阶段3:测试哪些服务具有安全漏洞33扫描器工作过程阶段1:发现目标主机或网络33扫描技术端口扫描技术全开扫描(openscanning)半全开扫描(half-openscanning)秘密扫描(stealthscanning)区段扫描(sweepsscanning)系统类型检测技术34扫描技术端口扫描技术34端口扫描技术扫描类型全开扫描TCPconnect反向ident其他UDP/ICMPerrorFTPbounce半开扫描SYNflagIPIDheader“dumbscan”秘密扫描SYN/ACKflagACKflagsNULLflagsALLflags(XMAS)TCP分片FINflag区段扫描TCPechoUDPechoTCPACKTCPSYNICMPecho35端口扫描技术扫描类型全开扫描TCPconnect反向全开扫描(openscan,TCPconnect)3次TCP/IP握手过程建立标准TCP连接来检查主机的相应端口是否打开优点:快速,精确,不需要特殊用户权限缺点:不能进行地址欺骗并且非常容易被检测到ClientSYNServerSYN/ACKClientACKServer端口打开ClientSYNServerRST/ACKClientRSTServer端口没有打开36全开扫描(openscan,TCPconnect)3次SYN扫描ClientSYNServerSYN/ACKClientRST端口开ClientSYNServerRST/ACK关闭端口优点:快速,可绕开基本的IDS,避免了TCP3次握手缺点:需要超级拥护权限,IDS系统可能阻止大量的SYN扫描,造成误报37SYN扫描ClientSYNClienSYN/ACK扫描设置单独的标志位(如ACK,FIN,RST等)NULL标志位(不设立任何标志位)ALL标志位(设立所有标志位)绕开过滤规则,防火墙,路由器表现为偶然的网络数据流变化的数据包发散率38SYN/ACK扫描设置单独的标志位(如ACK,FIN,RSSYN/ACK扫描优点:快速,可绕开基本的IDS,避免了3TCP3次握手缺点:需要超级用户权限,不可靠Client可以猜测server端口是否打开ClientSYN/ACKServerRST此通常说明server关闭,但是猜测打开不可靠39SYN/ACK扫描优点:快速,可绕开基本的IDS,避免了3系统类型检测技术利用系统旗标利用DNS信息利用TCP/IP堆栈指纹40系统类型检测技术利用系统旗标40利用TCP/IP堆栈指纹

我们发现利用尝试登陆的信息有时候尽管可以获取很多有用的资料,但是很难保证它的真实性与正确性。因此,有人开发了利用网络操作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。这种的准确性相当高,因为再精明的管理员都不太可能去修改系统底层的网络的堆栈参数。目前,利用这种技术实现的工具很多,比较著名有NMAP,CHECKOS,QUESO等。41利用TCP/IP堆栈指纹

我们发现利用尝试登陆的信息有演讲完毕,谢谢观看!演讲完毕,谢谢观看!安全扫描技术43安全扫描技术110.1安全威胁分析10.1.1入侵行为分析

怎样才算是受到了黑客的入侵和攻击呢?

狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。

广义的定义认为:使网络受到入侵和破坏的所有行为都应被称为“攻击”。本书采用广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻起,攻击就已经发生了。下面我们从以下几个方面对入侵行为进行分析:(1)入侵目的执行过程获取文件和数据获取超级用户权限进行非授权操作使用系统拒绝服务篡改信息披露信息4410.1安全威胁分析10.1.1入侵行为分析2(2)实施入侵的人员伪装者:未经授权使用计算机者或者绕开系统访问机制获得合法用户账户权限者。违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问权限错误使用其权利的用户。秘密用户:拥有账户管理权限者,利用这种机制来逃避审计和访问数据库,或者禁止收集审计数据的用户。(3)入侵过程中的各个阶段和各个阶段的不同特点窥探设施顾名思义也就是对环境的了解,目的是要了解目标采用的是什么操作系统,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。攻击系统在窥探设施的工作完成后,入侵者将根据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。掩盖踪迹入侵者会千方百计的避免自己被检测出来。45(2)实施入侵的人员310.1.2安全威胁分析计算机面临的安全威胁有来自计算机系统外部的,也有来自计算机系统内部的。来自计算机系统外部的威胁主要有:自然灾害、意外事故;计算机病毒人为行为,比如使用不当、安全意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务、非法连接等;内部泄密外部泄密信息丢失电子谍报,比如信息流量分析、信息窃取等;信息战;4610.1.2安全威胁分析计算机面临的安全威胁有来计算机系统内部存在的安全威胁主要有:操作系统本身所存在的一些缺陷;数据库管理系统安全的脆弱性;管理员缺少安全方面的知识,缺少安全管理的技术规范,缺少定期的安全测试与检查;网络协议中的缺陷,例如TCP/IP协议的安全问题;应用系统缺陷,等等;在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。47计算机系统内部存在的安全威胁主要有:5

攻击的分类方法是多种多样的。这里根据入侵者使用的方式和手段,将攻击进行分类。口令攻击抵抗入侵者的第一道防线是口令系统。几乎所有的多用户系统都要求用户不但提供一个名字或标识符(ID),而且要提供一个口令。口令用来鉴别一个注册系统的个人ID。在实际系统中,入侵者总是试图通过猜测或获取口令文件等方式来获得系统认证的口令,从而进入系统。入侵者登陆后,便可以查找系统的其他安全漏洞,来得到进一步的特权。为了避免入侵者轻易的猜测出口令,用户应避免使用不安全的口令。有时候即使好的口令也是不够的,尤其当口令需要穿过不安全的网络时将面临极大的危险。很多的网络协议中是以明文的形式传输数据,如果攻击者监听网络中传送的数据包,就可以得到口令。在这种情况下,一次性口令是有效的解决方法。48攻击的分类方法是多种多样的。这里根据入侵者使

拒绝服务攻击拒绝服务站DOS(DenialofServices)使得目标系统无法提供正常的服务,从而可能给目标系统带来重大的损失。值得关注的是,现实情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来设计的,在现实环境中表现出这种理念的内在缺陷。此外,许多操作系统和网络设备的网络协议栈也存在缺陷,从而削弱了抵抗DOS攻击的能力。下面介绍4种常见的DOS攻击类型及原理。(1)带宽耗用(bandwidth-consumption):其本质是攻击者消耗掉通达某个网络的所有可用带宽。(2)资源耗竭(resource-starvation):一般地说,它涉及诸如CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗。(3)编程缺陷(programmingflaw):是应用程序、操作系统或嵌入式CPU在处理异常文件上的失败。(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提供服务。497利用型攻击利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要的表现形式:特洛伊木马和缓冲区溢出。(1)特洛伊木马:表面看是有用的软件工具,而实际上却在启动后暗中安装破坏性的软件。(2)缓冲区溢出攻击(BufferOverflow):通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行一段恶意代码,以达到攻击的目的。信息收集型攻击信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步的入侵提供必须的信息,这种攻击手段大部分在黑客入侵三部曲中的第一步—窥探设施时使用。

50利用型攻击8假消息攻击攻击者用配备不正确的消息来欺骗目标系统,以达到攻击的目的。常见的假消息攻击形式有以下几种。(1)电子邮件欺骗:对于大部分普通因特网用户来说,电子邮件服务是他们使用的最多的网络服务之一。常见的通过电子邮件的攻击方法有:隐藏发信人的身份,发送匿名或垃圾信件;使用用户熟悉的人的电子邮件地址骗取用户的信任;通过电子邮件执行恶意的代码。(2)IP欺骗:IP欺骗的主要动机是隐藏自己的IP地址,防止被跟踪。(3)Web欺骗:由于Internet的开放性,任何用户都可以建立自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见的Web欺骗的形式有:使用相似的域名;改写URL、Web会话挟持等。(4)DNS欺骗:修改上一级DNS服务记录,重定向DSN请求,使受害者获得不正确的IP地址51假消息攻击9安全扫描技术概论安全扫描技术是指手工的或使用指定的软件工具----安全扫描器,对系统脆弱点进行评估,寻找对系统扫成损害的安全漏洞。扫描可以分为系统扫描和网络扫描两个方面,系统扫描侧重主机系统的平台安全性以及基于此平台的系统安全性,而网络扫描则侧重于系统提供的网络应用和服务以及相关的协议分析。52安全扫描技术概论安全扫描技术是指手工的或使用指定的软件工具-扫描的目的

扫描的主要目的是通过一定的手段和方法发现系统或网络存在的隐患,以利于己方及时修补或发动对敌方系统的攻击。同时,自动化的安全扫描器要对目标系统进行漏洞检测和分析,提供详细的漏洞描述,并针对安全漏洞提出修复建议和安全策略,生成完整的安全性分析报告,为网路管理完善系统提供重要依据。53扫描的目的

扫描的主要目的是通过一定的手段和方法发现系统或网安全扫描器的类型安全扫描其主要有两种类型:(1)本地扫描器或系统扫描器:扫描器和待检系统运行于统一结点,进行自身检测。(2)远程扫描器或网络扫描器:扫描器和待检查系统运行于不同结点,通过网络远程探测目标结点,寻找安全漏洞。54安全扫描器的类型安全扫描其主要有两种类型:12(3)网络扫描器通过网络来测试主机安全性,它检测主机当前可用的服务及其开放端口,查找可能被远程试图恶意访问者攻击的大量众所周知的漏洞,隐患及安全脆弱点。甚至许多扫描器封装了简单的密码探测,可自设定规则的密码生成器、后门自动安装装置以及其他一些常用的小东西,这样的工具就可以称为网络扫描工具包,也就是完整的网络主机安全评价工具[比如鼻祖SATAN和国内最负盛名的流光55(3)网络扫描器通过网络来测试主机安全性,它检测主机当前可用(4).系统扫描器用于扫描本地主机,查找安全漏洞,查杀病毒,木马,蠕虫等危害系统安全的恶意程序,此类非本文重点,因此不再祥细分析

(5).另外还有一种相对少见的数据库扫描器,比如ISS公司的DatabaseScanner,工作机制类似于网络扫描器,主要用于检测数据库系统的安全漏洞及各种隐患。

56(4).系统扫描器用于扫描本地主机,查找安全漏洞,查杀病毒,扫描技术工具信息收集是入侵及安全状况分析的基础,传统地手工收集信息耗时费力,于是扫描工具出现了,它能依照程序设定自动探测及发掘规则内的漏洞,是探测系统缺陷的安全工具。57扫描技术工具信息收集是入侵及安全状况分析的基础,传统地手工收扫描器主要功能(1)端口及服务检测

检测目标主机上开放端口及运行的服务,并提示安全隐患的可能存在与否(2)后门程序检测

检测PCANYWAYVNCBO2K冰河等等远程控制程序是否有存在于目标主机(3)密码探测

检测操作系统用户密码,FTP、POP3、Telnet等等登陆或管理密码的脆弱性58扫描器主要功能(1)端口及服务检测

检测目标主机上开(4)D.o.S探测

检测各种拒绝服务漏洞是否存在(5)系统探测

检测系统信息比如NT注册表,用户和组,网络情况等(6)输出报告

将检测结果整理出清单报告给用户,许多扫描器也会同时提出安全漏洞解决方案(7)用户自定义接口

一些扫描器允许用户自己添加扫描规则,并为用户提供一个便利的接口,比如俄罗斯SSS的BaseSDK5917系统扫描如何提高系统安全性安全扫描器可以通过两种途径提高系统安全性。一是提前警告存在的漏洞,从而预防入侵和误用二是检查系统中由于受到入侵或操作失误而造成的新漏洞。60系统扫描如何提高系统安全性安全扫描器可以通过两种途径提高系统本地扫描器

本地扫描器分析文件的内容,查找可能存在的配置问题。由于本地扫描器实际上是运行于目标结点上的进程,具有以下几个特点:

可以在系统上任意创建进程。为了运行某些程序,检测缓冲区溢出攻击,要求扫描器必须做到这一点。可以检查到安全补丁一级,以确保系统安装了最新的安全解决补丁。可以通过在本地查看系统配置文件,检查系统的配置错误。61本地扫描器本地扫描器分析文件的内容,查找可能存在的配置本地扫描器对Unix系统,需要进行以下项目的检查:系统完整性检查关键系统文件变化检测用户账户变化检测黑客入侵标记检测未知程序版本不常见文件名可疑设备文件未经授权服务弱口令选择检测有安全漏洞程序版本检测标记可被攻击程序报告需要安装的安全补丁检查系统配置安全性全局信任文件62本地扫描器对Unix系统,需要进行以下项目的检查:系统完整性crontab文件rc系统启动文件文件系统mount权限打印服务账户配置组配置检查网络服务安全性是否允许IP转发标记有风险服务FTP配置news服务器配置NFS配置本地扫描器对Unix系统,需要进行以下项目的检查:63crontab文件本地扫描器对Unix系统,需要进行以下项目本地扫描器对Unix系统,需要进行以下项目的检查:邮件服务器配置检查用户环境变量安全性系统文件属主系统文件权限许可文件属主及权限许可sell启动文件用户信任文件应用程序配置文档其他64本地扫描器对Unix系统,需要进行以下项目的检查:邮件服务器本地扫描器对WindowsNT/2000系统,还有一些特定的安全检查项目是否允许建立guest账户guest账户有无口令口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问独立的注册设置对系统文件和目录不正确的分配许可权非NT缺省配置的未知服务运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等带有许可访问控制设置的共享,可能给远程用户全部访问权其他65本地扫描器对WindowsNT/2000系统,还有一些特定远程扫描器远程扫描器检查网络和分布式系统的安全漏洞。远程扫描器通过执行一整套综合的穿透测试程序集,发送精心构造的数据包来检测目标系统。被测系统和扫描器的操作系统可以是同一类型,也可以是不同类型的。66远程扫描器远程扫描器检查网络和分布式系统

远程扫描需要检查的项目很多,这些项目又可以分为以下几大类:远程扫描器67远程扫描需要检查的项目很多,这些项目又可以分为以下安全扫描系统的选择与注意事项①升级问题②可扩充性

③全面的解决方案④人员培训

68安全扫描系统的选择与注意事项26安全扫描技术也许有些计算机安全管理人员开始考虑购买一套安全扫描系统,那么,购买此类产品需要考虑哪些方面呢?69安全扫描技术也许有些计算机安全管理人员开始考虑购买一套安全扫升级问题

由于当今应用软件功能日趋复杂化、软件公司在编写软件时很少考虑安全性等等多种原因,网络软件漏洞层出不穷,这使优秀的安全扫描系统必须有良好的可扩充性和迅速升级的能力。因此,在选择产品时,首先要注意产品是否能直接从因特网升级、升级方法是否能够被非专业人员掌握,同时要注意产品制造者有没有足够的技术力量来保证对新出现漏洞作出迅速的反应

70升级问题由于当今应用软件功能日趋复杂化、软件公司在编写软件可扩充性

对具有比较深厚的网络知识,并且希望自己扩充产品功能的用户来说,应用了功能模块或插件技术的产品应该是首选。

71可扩充性对具有比较深厚的网络知识,并且希望自己扩充产品功能全面的解决方案

前面已经指出,网络安全管理需要多种安全产品来实现,仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统,要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。

72全面的解决方案前面已经指出,网络安全管理需要多种安全产品来人员培训

前面已经分析过,网络安全中人是薄弱的一环,许多安全因素是与网络用户密切相关的,提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此,在选择安全扫描产品时,要考虑制造商有无能力提供安全技术培训。

73人员培训前面已经分析过,网络安全中人是薄弱的一环,许多安全10.2.4安全扫描技术分析7410.2.4安全扫描技术分析32扫描器工作过程阶段1:发现目标主机或网络阶段2:进一步发现目标系统类型及配置等信息阶段3:测试哪些服务具有安全漏洞75扫描器工作过程阶段1:发现目标主机或网络33扫描技术端口扫描技术全开扫描(openscanning)半全开扫描(half-openscanning)秘密扫

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论