ch7网络安全检测与评估技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3)基于ICMP响应分析探测技术 ICMP响应分析探测技术是一种较新的操
作系统探测技术。该技术通过发送UDP或 ICMP的请求报文,然后分析各种ICMP应答信 息来判断操作系统的类型及其版本信息。
本质也是一种基于TCP/IP协议栈的操作 系统指纹探测技术。
返回本章首页
第七章 网络安全检测与评估技术
第七章 网络安全检测与评估技术
2. 网络安全漏洞的分类方法 ➢按漏洞可能对系统造成的直接威胁分类 ➢按漏洞的成因分类
返回本章首页
第七章 网络安全检测与评估技术
(1)按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为: 远程管理员权限;本地管理员权限;普通
用户访问权限;权限提升;读取受限文件; 远程拒绝服务;本地拒绝服务;远程非授权 文件存取;口令恢复;欺骗;服务器信息泄 露;其它漏洞。
返回本章首页
第七章 网络安全检测与评估技术
为提高信息型漏洞探测技术的准确率和效 率,许多改进措施也不断地被引入: ➢顺序扫描技术 ➢多重服务检测技术
返回本章首页
第七章 网络安全检测与评估技术
(2)攻击型漏洞探测技术 模拟攻击是最直接的漏洞探测技术,其探
测结果的准确率也是最高的。 该探测技术的主要思想是模拟网络入侵的
1. 网络安全评估标准的发展历程 (1)首创而孤立的阶段 (2)普及而分散的阶段 (3)集中统一阶段
返回本章首页
第七章 网络安全检测与评估技术
1985年美国可信计 算机系统评估准则
(TCSEC)
1991年欧洲信息技 术安全评估准则 (ITSEC )
1990年加拿大可信 计算机产品评估准则
CTCPEC
返回本章首页
第七章 网络安全检测与评估技术
表7-2 漏洞威胁综合等级分类
严重 等级
1 2 3
影响等级
1
2
3
1
2
3
2
3
4
3
4
5
返回本章首页
第七章 网络安全检测与评估技术
表7-3 漏洞威胁等级分类描述
等级
描述
1 低影响度,低严重度 2 低影响度,中等严重度;中等影响度,低严重度 3 低影响度,高严重度;高影响度,低严重度;中等影响度,中等严重度 4 中等影响度,高严重度;高影响度,中等严重度 5 高影响度,高严重度
返回本章首页
第七章 网络安全检测与评估技术
半连接扫描的优点在于即使日志中对扫描有所 记录,但是尝试进行连接的记录也要比全连接 扫描要少得多。 缺点是在大部分操作系统下,发送主机需要构 造适用于这种扫描的IP包,通常情况下,构造 SYN数据包需要超级用户或者授权用户访问专 门的系统调用。
返回本章首页
通过端口扫描可以掌握系统都开放了哪些 端口、提供了哪些网络服务;
通过操作系统探测可以掌握操作系统的类 型信息;
通过安全漏洞探测可以发现系统中可能存 在的安全漏洞。
返回本章首页
第七章 网络安全检测与评估技术
1. 端口扫描技术 端口扫描的原理是向目标主机的TCP/IP
端口发送探测数据包,并记录目标主机的响应。 通过分析响应来判断端口是打开还是关闭等状 态信息。 端口扫描技术分为: TCP端口扫描技术 UDP端口扫描技术
1996年国际通用准 则(CC)
1991年美国联邦 准则(FC)
1999年国际标准 ISO 15408
图7-1 测评标准的发展演变历程
返回本章首页
CC … EAL1 EAL2 EAL3 EAL4 … … EAL5 EAL6 EAL7
第七章 网络安全检测与评估技术
表7-7 各标准的等级划分对照表
TCSEC
返回本章首页
第七章 网络安全检测与评估技术
(1)TCP端口扫描技术 TCP端口扫描技术主要有全连接扫描技术、
半连接(SYN)扫描技术、间接扫描技术和秘 密扫描技术等。 全连接扫描技术 全连接扫描的工作方式是:对目标主机上感兴 趣的端口进行connect()连接试探,如果该端 口被监听,则连接成功,否则表示该端口未开 放或无法到达。
返回本章首页
第七章 网络安全检测与评估技术
(2)安全威胁的定义 安全威胁是指所有能够对计算机网络信息
系统的网络服务和网络信息的机密性、可用性 和完整性产生阻碍、破坏或中断的各种因素。 安全威胁可以分为人为安全威胁和非人为安全 威胁两大类。安全威胁与安全漏洞密切相关, 安全漏洞的可度量性使得人们对系统安全的潜 在影响有了更加直观的认识。
返回本章首页
第七章 网络安全检测与评估技术
(1)信息型漏洞探测技术 信息型漏洞探测技术就是通过探测目标
的型号、运行的操作系统版本及补丁安装情 况、配置情况、运行服务及其服务程序版本 等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破 坏性影响的特点。其不足之处是对于具体某 个漏洞存在与否,难以做出确定性的结论。
的操作系统在协议栈实现上存在细微差别。 操作系统指纹探测步骤为: 形成一个全面的操作系统指纹特征库; 向目标发送多种特意构造的信息包,检测其 是否响应这些信息包以及其响应方式; 把从目标返回的特征信息与指纹特征库进行 匹配,判断目标机器的操作系统类型等信息。
返回本章首页
第七章 网络安全检测与评估技术
评估保证级1 评估保证级2 评估保证级3
返回本章首页
第七章 网络安全检测与评估技术
功能要求
子类
C1
子类
C1
C2
C2
C3
功能C3类 Cn
功能类 Cn
保证要求
子类
C1
子类
C1
C2
C2
C3
功能C3类 Cn
保证类 Cn
功能包 为构建PP或ST而选取 的一组功能要求
保护轮廓(PP) 基于一类TOE的应用环境规定一 组安全要求,并提出应达到哪一 评估保证级要求
返回本章首页
第七章 网络安全检测与评估技术
2. TCSEC、ITSEC和CC的基本构成 (1)TCSEC的基本构成
TCSEC主要由以下四个方面进行描述: ➢安全策略模型(Security Policy Model) ➢可追究性(Accountability) ➢保证(Assurance) ➢文档(Documentation)
(1)获取标识信息探测技术 获取标识信息探测技术主要是指借助操作
系统本身提供的命令和程序进行操作系统类型 探测的技术。
通常,可以利用telnet这个简单命令得到 主机操作系统的类型。
返回本章首页
第七章 网络安全检测与评估技术
(2)基于TCP/IP协议栈的指纹探测技术 指纹探测实现依据是不同类型、不同版本
高严重度: 漏洞易于 利用,并且潜在的损 失较大。
等级
影响度
1
低影响度: 漏洞的影响较低,不会产生连 带的其他安全漏洞。
中等影响度: 漏洞可能影响系统的一个或 2 多个模块,该漏洞的利用可能会导致其他
漏洞可利用。
高影响度: 漏洞影响系统的大部分模块, 3 并且该漏洞的利用显著增加其他漏洞的可
利用性。
自主访问控制 相当于无安全功能的个人微机
返回本章首页
第七章 网络安全检测与评估技术
(2)ITSEC的基本构成 TSEC也定义了7个安全级别,即 E6:形
式化验证;E5:形式化分析;E4:半形式化 分析;E3:数字化测试分析;E2:数字化测 试;E1:功能测试;E0:不能充分满足保证。
返回本章首页
第七章 网络安全检测与评估技术
ITSEC的安全功能分类为:标识与鉴别、 访问控制、可追究性、审计、客体重用、精确 性、服务可靠性、数据交换。其保证则分为: 有效性(Effectiveness)和正确性 (Correctness)。
返回本章首页
第七章 网络安全检测与评估技术
(3)CC的基本构成 CC分为三部分,相互依存,缺一不可。
一般过程,对目标系统进行无恶意攻击尝试, 若攻击成功则表明相应安全漏洞必然存在。
返回本章首页
第七章 网络安全检测与评估技术
(3)漏洞探测技术按其技术特征可分为: ➢基于应用的检测技术 ➢基于主机的检测技术 ➢基于目标的漏洞检测技术 ➢基于网络的检测技术
返回本章首页
第七章 网络安全检测与评估技术
7.3 网络安全评估标准
保证要求包括7个保证类(配置管理、交 付和运行、开发、指导性文件、生命周期支持、 测试、脆弱性评定)。
返回本章首页
第七章 网络安全检测与评估技术
CC的评估等级共分7级:EAL1到EAL7 , 分别为功能测试,结构测试,系统测试和检验, 系统设计、测试和评审,半形式化设计和测试, 半形式化验证的设计和测试,形式化验证的设 计和测试。
返回本章首页
第七章 网络安全检测与评估技术
(2)按漏洞的成因分类 可以分为: 输入验证错误类;访问验证错误类;竞争条
件类;意外情况处置错误类;设计错误类;配 置错误类;环境错误类。
返回本章首页
第七章 网络安全检测与评估技术
7.2 网络安全漏洞检测技术
网络安全漏洞检测主要包括端口扫描、操 作系统探测和安全漏洞探测。
返回本章首页
第七章 网络安全检测与评估技术
TCSEC根据所采用的安全策略、系统所具备的安全功能 将系统分为四类七个安全级别。
TCSEC的安全级别
类别 级别
名称
A A 验证设计
B3 安全区域
B B2 结构化保护
B1 标识的安全保护
C
C2
受控制的访问控 制
C1 自主安全保护
D D 低级保护
主要特征
形式化的最高级描述和验证形式化的 隐蔽通道分析非形式化的代码对应证 明 访问控制高抗渗透能力 形式化模型/隐通道约束面向安全的体 系结构较好的抗渗透能力 强访问控制安全标识 单独的可追究性广泛的审计踪迹
3. 安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能
存在的已知安全漏洞进行逐项检查。 按照网络安全漏洞的可利用方式来划分,
漏洞探测技术可以分为:信息型漏洞探测和攻 击型漏洞探测两种。
按照漏洞探测的技术特征,可以划分为: 基于应用的探测技术、基于主机的探测技术、 基于目标的探测技术和基于网络的探测技术等。
返回本章首页
第七章 网络安全检测与评估技术
可以按照风险等级对安全漏洞进行归类,表 7-1,7-2,7-3对漏洞分类方法进行了描述 。
表7-1 漏洞威胁等级分类
严重度
低严重度: 漏洞难以 利用,并且潜在的损 失较少。
中等严重度: 漏洞难 以利用,但是潜在的 损失较大,或者漏洞 易于利用,但是潜在 的损失较少。
其中第1部分是介绍CC的基本概念和基本原 理,第2部分提出了安全功能要求,第3部分 提出了非技术的安全保证要求 。
返回本章首页
第七章 网络安全检测与评估技术
CC的功能要求和保证要求均以类-族-组件 的结构表述。
功能要求包括11个功能类(安全审计、通 信、密码支持、用户数据保护、标识和鉴别、 安全管理、隐秘、TSF保护、资源利用、TOE 访问、可信路径、信道) 。
FC
ITSEC
D
E0
…
…
C1
E1
C2
T1
E2
B1
T2Βιβλιοθήκη E3…T3
…
…
T4
…
B2
T5
E4
B3
T6
E5
A
T7
E6
CTCPEC T0 T1 T2 T3 T4 … … T5 T6 T7
GB17859-1999 … 1:用户自主保护 2:系统审计保护 3:安全标记保护 4:结构变化保护 … … 5:访问验证保护 … …
第七章 网络安全检测与评估技术
(2)UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上
有哪些UDP端口是开放的。其实现思想是发送 零字节的UDP信息包到目标机器的各个端口, 若收到一个ICMP端口不可达的回应,则表示 该UDP端口是关闭的,否则该端口就是开放的。
返回本章首页
第七章 网络安全检测与评估技术
第七章 网络安全检测与评估技术
7.1 网络安全漏洞
1. 网络安全漏洞威胁 (1)安全漏洞的定义
漏洞是在硬件、软件、协议的具体实现或 系统安全策略上存在的缺陷,可以使攻击者在 未授权的情况下访问或破坏系统。
漏洞的产生有其必然性,这是因为软件的 正确性通常是通过检测来保障的。而“检测只 能发现错误,证明错误的存在,不能证明错误 的不存在”。
2. 操作系统探测技术 由于操作系统的漏洞信息总是与操作系统的类 型和版本相联系的,因此操作系统的类型信息 是网络安全检测的一个重要内容。 操作系统探测技术主要包括: 获取标识信息探测技术 基于TCP/IP协议栈的指纹探测技术 基于ICMP响应分析探测技术
返回本章首页
第七章 网络安全检测与评估技术
返回本章首页
第七章 网络安全检测与评估技术
全连接扫描的最大优点是用户无须特殊权限, 且探测结果最为准确。缺点是很容易被目标主 机察觉并记录下来。 半连接(SYN)端口扫描技术 半连接端口扫描不建立完整的TCP连接,而是 只发送一个SYN信息包,就如同正在打开一个 真正的TCP连接,并等待对方的回应一样。
作系统探测技术。该技术通过发送UDP或 ICMP的请求报文,然后分析各种ICMP应答信 息来判断操作系统的类型及其版本信息。
本质也是一种基于TCP/IP协议栈的操作 系统指纹探测技术。
返回本章首页
第七章 网络安全检测与评估技术
第七章 网络安全检测与评估技术
2. 网络安全漏洞的分类方法 ➢按漏洞可能对系统造成的直接威胁分类 ➢按漏洞的成因分类
返回本章首页
第七章 网络安全检测与评估技术
(1)按漏洞可能对系统造成的直接威胁分类 可以将漏洞分为: 远程管理员权限;本地管理员权限;普通
用户访问权限;权限提升;读取受限文件; 远程拒绝服务;本地拒绝服务;远程非授权 文件存取;口令恢复;欺骗;服务器信息泄 露;其它漏洞。
返回本章首页
第七章 网络安全检测与评估技术
为提高信息型漏洞探测技术的准确率和效 率,许多改进措施也不断地被引入: ➢顺序扫描技术 ➢多重服务检测技术
返回本章首页
第七章 网络安全检测与评估技术
(2)攻击型漏洞探测技术 模拟攻击是最直接的漏洞探测技术,其探
测结果的准确率也是最高的。 该探测技术的主要思想是模拟网络入侵的
1. 网络安全评估标准的发展历程 (1)首创而孤立的阶段 (2)普及而分散的阶段 (3)集中统一阶段
返回本章首页
第七章 网络安全检测与评估技术
1985年美国可信计 算机系统评估准则
(TCSEC)
1991年欧洲信息技 术安全评估准则 (ITSEC )
1990年加拿大可信 计算机产品评估准则
CTCPEC
返回本章首页
第七章 网络安全检测与评估技术
表7-2 漏洞威胁综合等级分类
严重 等级
1 2 3
影响等级
1
2
3
1
2
3
2
3
4
3
4
5
返回本章首页
第七章 网络安全检测与评估技术
表7-3 漏洞威胁等级分类描述
等级
描述
1 低影响度,低严重度 2 低影响度,中等严重度;中等影响度,低严重度 3 低影响度,高严重度;高影响度,低严重度;中等影响度,中等严重度 4 中等影响度,高严重度;高影响度,中等严重度 5 高影响度,高严重度
返回本章首页
第七章 网络安全检测与评估技术
半连接扫描的优点在于即使日志中对扫描有所 记录,但是尝试进行连接的记录也要比全连接 扫描要少得多。 缺点是在大部分操作系统下,发送主机需要构 造适用于这种扫描的IP包,通常情况下,构造 SYN数据包需要超级用户或者授权用户访问专 门的系统调用。
返回本章首页
通过端口扫描可以掌握系统都开放了哪些 端口、提供了哪些网络服务;
通过操作系统探测可以掌握操作系统的类 型信息;
通过安全漏洞探测可以发现系统中可能存 在的安全漏洞。
返回本章首页
第七章 网络安全检测与评估技术
1. 端口扫描技术 端口扫描的原理是向目标主机的TCP/IP
端口发送探测数据包,并记录目标主机的响应。 通过分析响应来判断端口是打开还是关闭等状 态信息。 端口扫描技术分为: TCP端口扫描技术 UDP端口扫描技术
1996年国际通用准 则(CC)
1991年美国联邦 准则(FC)
1999年国际标准 ISO 15408
图7-1 测评标准的发展演变历程
返回本章首页
CC … EAL1 EAL2 EAL3 EAL4 … … EAL5 EAL6 EAL7
第七章 网络安全检测与评估技术
表7-7 各标准的等级划分对照表
TCSEC
返回本章首页
第七章 网络安全检测与评估技术
(1)TCP端口扫描技术 TCP端口扫描技术主要有全连接扫描技术、
半连接(SYN)扫描技术、间接扫描技术和秘 密扫描技术等。 全连接扫描技术 全连接扫描的工作方式是:对目标主机上感兴 趣的端口进行connect()连接试探,如果该端 口被监听,则连接成功,否则表示该端口未开 放或无法到达。
返回本章首页
第七章 网络安全检测与评估技术
(2)安全威胁的定义 安全威胁是指所有能够对计算机网络信息
系统的网络服务和网络信息的机密性、可用性 和完整性产生阻碍、破坏或中断的各种因素。 安全威胁可以分为人为安全威胁和非人为安全 威胁两大类。安全威胁与安全漏洞密切相关, 安全漏洞的可度量性使得人们对系统安全的潜 在影响有了更加直观的认识。
返回本章首页
第七章 网络安全检测与评估技术
(1)信息型漏洞探测技术 信息型漏洞探测技术就是通过探测目标
的型号、运行的操作系统版本及补丁安装情 况、配置情况、运行服务及其服务程序版本 等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破 坏性影响的特点。其不足之处是对于具体某 个漏洞存在与否,难以做出确定性的结论。
的操作系统在协议栈实现上存在细微差别。 操作系统指纹探测步骤为: 形成一个全面的操作系统指纹特征库; 向目标发送多种特意构造的信息包,检测其 是否响应这些信息包以及其响应方式; 把从目标返回的特征信息与指纹特征库进行 匹配,判断目标机器的操作系统类型等信息。
返回本章首页
第七章 网络安全检测与评估技术
评估保证级1 评估保证级2 评估保证级3
返回本章首页
第七章 网络安全检测与评估技术
功能要求
子类
C1
子类
C1
C2
C2
C3
功能C3类 Cn
功能类 Cn
保证要求
子类
C1
子类
C1
C2
C2
C3
功能C3类 Cn
保证类 Cn
功能包 为构建PP或ST而选取 的一组功能要求
保护轮廓(PP) 基于一类TOE的应用环境规定一 组安全要求,并提出应达到哪一 评估保证级要求
返回本章首页
第七章 网络安全检测与评估技术
2. TCSEC、ITSEC和CC的基本构成 (1)TCSEC的基本构成
TCSEC主要由以下四个方面进行描述: ➢安全策略模型(Security Policy Model) ➢可追究性(Accountability) ➢保证(Assurance) ➢文档(Documentation)
(1)获取标识信息探测技术 获取标识信息探测技术主要是指借助操作
系统本身提供的命令和程序进行操作系统类型 探测的技术。
通常,可以利用telnet这个简单命令得到 主机操作系统的类型。
返回本章首页
第七章 网络安全检测与评估技术
(2)基于TCP/IP协议栈的指纹探测技术 指纹探测实现依据是不同类型、不同版本
高严重度: 漏洞易于 利用,并且潜在的损 失较大。
等级
影响度
1
低影响度: 漏洞的影响较低,不会产生连 带的其他安全漏洞。
中等影响度: 漏洞可能影响系统的一个或 2 多个模块,该漏洞的利用可能会导致其他
漏洞可利用。
高影响度: 漏洞影响系统的大部分模块, 3 并且该漏洞的利用显著增加其他漏洞的可
利用性。
自主访问控制 相当于无安全功能的个人微机
返回本章首页
第七章 网络安全检测与评估技术
(2)ITSEC的基本构成 TSEC也定义了7个安全级别,即 E6:形
式化验证;E5:形式化分析;E4:半形式化 分析;E3:数字化测试分析;E2:数字化测 试;E1:功能测试;E0:不能充分满足保证。
返回本章首页
第七章 网络安全检测与评估技术
ITSEC的安全功能分类为:标识与鉴别、 访问控制、可追究性、审计、客体重用、精确 性、服务可靠性、数据交换。其保证则分为: 有效性(Effectiveness)和正确性 (Correctness)。
返回本章首页
第七章 网络安全检测与评估技术
(3)CC的基本构成 CC分为三部分,相互依存,缺一不可。
一般过程,对目标系统进行无恶意攻击尝试, 若攻击成功则表明相应安全漏洞必然存在。
返回本章首页
第七章 网络安全检测与评估技术
(3)漏洞探测技术按其技术特征可分为: ➢基于应用的检测技术 ➢基于主机的检测技术 ➢基于目标的漏洞检测技术 ➢基于网络的检测技术
返回本章首页
第七章 网络安全检测与评估技术
7.3 网络安全评估标准
保证要求包括7个保证类(配置管理、交 付和运行、开发、指导性文件、生命周期支持、 测试、脆弱性评定)。
返回本章首页
第七章 网络安全检测与评估技术
CC的评估等级共分7级:EAL1到EAL7 , 分别为功能测试,结构测试,系统测试和检验, 系统设计、测试和评审,半形式化设计和测试, 半形式化验证的设计和测试,形式化验证的设 计和测试。
返回本章首页
第七章 网络安全检测与评估技术
(2)按漏洞的成因分类 可以分为: 输入验证错误类;访问验证错误类;竞争条
件类;意外情况处置错误类;设计错误类;配 置错误类;环境错误类。
返回本章首页
第七章 网络安全检测与评估技术
7.2 网络安全漏洞检测技术
网络安全漏洞检测主要包括端口扫描、操 作系统探测和安全漏洞探测。
返回本章首页
第七章 网络安全检测与评估技术
TCSEC根据所采用的安全策略、系统所具备的安全功能 将系统分为四类七个安全级别。
TCSEC的安全级别
类别 级别
名称
A A 验证设计
B3 安全区域
B B2 结构化保护
B1 标识的安全保护
C
C2
受控制的访问控 制
C1 自主安全保护
D D 低级保护
主要特征
形式化的最高级描述和验证形式化的 隐蔽通道分析非形式化的代码对应证 明 访问控制高抗渗透能力 形式化模型/隐通道约束面向安全的体 系结构较好的抗渗透能力 强访问控制安全标识 单独的可追究性广泛的审计踪迹
3. 安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能
存在的已知安全漏洞进行逐项检查。 按照网络安全漏洞的可利用方式来划分,
漏洞探测技术可以分为:信息型漏洞探测和攻 击型漏洞探测两种。
按照漏洞探测的技术特征,可以划分为: 基于应用的探测技术、基于主机的探测技术、 基于目标的探测技术和基于网络的探测技术等。
返回本章首页
第七章 网络安全检测与评估技术
可以按照风险等级对安全漏洞进行归类,表 7-1,7-2,7-3对漏洞分类方法进行了描述 。
表7-1 漏洞威胁等级分类
严重度
低严重度: 漏洞难以 利用,并且潜在的损 失较少。
中等严重度: 漏洞难 以利用,但是潜在的 损失较大,或者漏洞 易于利用,但是潜在 的损失较少。
其中第1部分是介绍CC的基本概念和基本原 理,第2部分提出了安全功能要求,第3部分 提出了非技术的安全保证要求 。
返回本章首页
第七章 网络安全检测与评估技术
CC的功能要求和保证要求均以类-族-组件 的结构表述。
功能要求包括11个功能类(安全审计、通 信、密码支持、用户数据保护、标识和鉴别、 安全管理、隐秘、TSF保护、资源利用、TOE 访问、可信路径、信道) 。
FC
ITSEC
D
E0
…
…
C1
E1
C2
T1
E2
B1
T2Βιβλιοθήκη E3…T3
…
…
T4
…
B2
T5
E4
B3
T6
E5
A
T7
E6
CTCPEC T0 T1 T2 T3 T4 … … T5 T6 T7
GB17859-1999 … 1:用户自主保护 2:系统审计保护 3:安全标记保护 4:结构变化保护 … … 5:访问验证保护 … …
第七章 网络安全检测与评估技术
(2)UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上
有哪些UDP端口是开放的。其实现思想是发送 零字节的UDP信息包到目标机器的各个端口, 若收到一个ICMP端口不可达的回应,则表示 该UDP端口是关闭的,否则该端口就是开放的。
返回本章首页
第七章 网络安全检测与评估技术
第七章 网络安全检测与评估技术
7.1 网络安全漏洞
1. 网络安全漏洞威胁 (1)安全漏洞的定义
漏洞是在硬件、软件、协议的具体实现或 系统安全策略上存在的缺陷,可以使攻击者在 未授权的情况下访问或破坏系统。
漏洞的产生有其必然性,这是因为软件的 正确性通常是通过检测来保障的。而“检测只 能发现错误,证明错误的存在,不能证明错误 的不存在”。
2. 操作系统探测技术 由于操作系统的漏洞信息总是与操作系统的类 型和版本相联系的,因此操作系统的类型信息 是网络安全检测的一个重要内容。 操作系统探测技术主要包括: 获取标识信息探测技术 基于TCP/IP协议栈的指纹探测技术 基于ICMP响应分析探测技术
返回本章首页
第七章 网络安全检测与评估技术
返回本章首页
第七章 网络安全检测与评估技术
全连接扫描的最大优点是用户无须特殊权限, 且探测结果最为准确。缺点是很容易被目标主 机察觉并记录下来。 半连接(SYN)端口扫描技术 半连接端口扫描不建立完整的TCP连接,而是 只发送一个SYN信息包,就如同正在打开一个 真正的TCP连接,并等待对方的回应一样。