安全扫描技术培训课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
。常见的假消息攻击形式有以下几种。 (1)电子邮件欺骗:对于大部分普通因特网用户来说,电子邮件
服务是他们使用的最多的网络服务之一。常见的通过电子邮件的攻击 方法有:隐藏发信人的身份,发送匿名或垃圾信件;使用用户熟悉的 人的电子邮件地址骗取用户的信任;通过电子邮件执行恶意的代码。
(2)IP欺骗:IP欺骗的主要动机是隐藏自己的IP地址,防止被跟 踪。
10
扫描的目的
扫描的主要目的是通过一定的手段和方法 发现系统或网络存在的隐患,以利于己方 及时修补或发动对敌方系统的攻击。
同时,自动化的安全扫描器要对目标系统 进行漏洞检测和分析,提供详细的漏洞描 述,并针对安全漏洞提出修复建议和安全 策略,生成完整的安全性分析报告,为网 路管理完善系统提供重要依据。
,就可以得到口令。在这种情况下,一次性口令是有效的解
决方法。
6
拒绝服务攻击 拒绝服务站DOS (Denial of Services)使得目标系统无法提供正
常的服务,从而可能给目标系统带来重大的损失。值得关注的是,现实 情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像 TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来 设计的,在现实环境中表现出这种理念的内在缺陷。此外,许多操作系 统和网络设备的网络协议栈也存在缺陷,从而削弱了抵抗DOS攻击的 能力。 下面介绍4种常见的DOS攻击类型及原理。
(1)带宽耗用(bandwidth-consumption):其本质是攻击者消 耗掉通达某个网络的所有可用带宽。
(2)资源耗竭(resource-starvation):一般地说,它涉及诸如 CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗 。
(3)编程缺陷(programming flaw):是应用程序、操作系统或 嵌入式CPU在处理异常文件上的失败。
(3) 密码探测 检测 操作系统用户密码, FTP、POP3、Telnet等等登陆或管理密码 的脆弱性
16
(4) D.o.S探测 检测 各种拒绝服务漏洞 是否存在
(5)系统探测 检测 系统信息比如NT 注 册表,用户和组,网络情况等
(6) 输出报告 将检测结果整理出清单报 告给用户,许多扫描器也会同时提出安全 漏洞解决方案
1
10.1 安全威胁分析
10.1.1 入侵行为分析
怎样才算是受到了黑客的入侵和攻击呢? 狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络 中。 广义的定义认为:使网络受到入侵和破坏的所有行为都应被称为“攻击”。 本书采用广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻 起,攻击就已经发生了。 下面我们从以下几个方面对入侵行为进行分析: (1)入侵目的 执行过程 获取文件和数据 获取超级用户权限 进行非授权操作 使用系统拒绝服务 篡改信息 披露信息
2
(2)实施入侵的人员 伪装者:未经授权使用计算机者或者绕开系统访问机制获得合法用户账户
权限者。
违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问 权限错误使用其权利的用户。
秘密用户:拥有账户管理权限者,利用这种机制来逃避审计和访问数据库 ,或者禁止收集审计数据的用户。
(3)入侵过程中的各个阶段和各个阶段的不同特点 窥探设施
5
攻击的分类方法是多种多样的。这里根据入侵者使用的 方式和手段,将攻击进行分类。
口令攻击
抵抗入侵者的第一道防线是口令系统。几乎所有的多用
户系统都要求用户不但提供一个名字或标识符(ID),而且 要提供一个口令。口令用来鉴别一个注册系统的个人ID。在 实际系统中,入侵者总是试图通过猜测或获取口令文件等方
28
可扩充性
对具有比较深厚的网络知识,并且希望自己扩充 产品功能的用户来说,应用了功能模块或插件技 术的产品应该是首选。
29
全面的解决方案
14
扫描技术工具
信息收集是入侵及安全状况分析的基础,传统地手工收集 信息耗时费力,于是扫描工具出现了,它能依照程序设定 自动探测及发掘规则内的漏洞,是探测系统缺陷的安全工 具。
15
扫描器主要功能
(1) 端口及服务检测 检测 目标主机上开 放端口及运行的服务,并提示安全隐患的 可能存在与否
(2) 后门程序检测 检测 PCANYWAY VNC BO2K 冰河等等远程控制程序是否有 存在于目标主机
4
计算机系统内部存在的安全威胁主要有: 操作系统本身所存在的一些缺陷; 数据库管理系统安全的脆弱性; 管理员缺少安全方面的知识,缺少安全管理的技术规范,缺少定期的安
全测试与检查; 网络协议中的缺陷,例如TCP/IP协议的安全问题; 应用系统缺陷,等等; 在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。
(3)Web欺骗:由于Internet的开放性,任何用户都可以建立 自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见 的Web欺骗的形式有:使用相似的域名;改写 URL、Web会话挟持 等。
(4)DNS欺骗:修改上一级DNS服务记录,重定向DSN请求, 使受害者获得不正确的IP地址
9
① 升级问题 ② 可扩充性 ③ 全面的解决方案 ④ 人员培训
26
安全扫描技术
也许有些计算 机安全管理人 员开始考虑购 买一套安全扫 描系统,那么 ,购买此类产 品需要考虑哪 些方面呢?
27
升级问题
由于当今应用软件功能日趋复杂化、软件 公司在编写软件时很少考虑安全性等等多 种原因,网络软件漏洞层出不穷,这使优 秀的安全扫描系统必须有良好的可扩充性 和迅速升级的能力。因此,在选择产品时 ,首先要注意产品是否能直接从因特网升 级、升级方法是否能够被非专业人员掌握 ,同时要注意产品制造者有没有足够的技 术力量来保证对新出现漏洞作出迅速的反 应
对Unix系统,需要进行以下项目的检查:
✓邮件服务器配置 ✓检查用户环境变量安全性 ✓系统文件属主 ✓系统文件权限许可 ✓文件属主及权限许可 ✓sell启动文件 ✓用户信任文件 ✓应用程序配置文档 ✓其他
22
本地扫描器
对Windows NT/2000系统,还有一些特定的安全检查项目
✓是否允许建立guest账户 ✓guest账户有无口令 ✓口令构造和过时原则 ✓弱口令选择 ✓登陆失败临界值 ✓注册表权限许可 ✓允许远程注册访问 ✓独立的注册设置 ✓对系统文件和目录不正确的分配许可权 ✓非NT缺省配置的未知服务 ✓运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等 ✓带有许可访问控制设置的共享,可能给远程用户全部访问权 ✓其他
写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程 序转而执行一段恶意代码,以达到攻击的目的。
信息收集型攻击 信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步
的入侵提供必须的信息,这种攻击手段大部分在黑客入侵三部曲中的第 一步—窥探设施时使用。
8
假消息攻击 攻击者用配备不正确的消息来欺骗目标系统,以达到攻击的目的
式来获得系统认证的口令,从而进入系统。入侵者登陆后,
便可以查找系统的其他安全漏洞,来得到进一步的特权。为
了避免入侵者轻易的猜测出口令,用户应避免使用不安全的 Байду номын сангаас令。
有时候即使好的口令也是不够的,尤其当口令需要穿过
不安全的网络时将面临极大的危险。很多的网络协议中是以
明文的形式传输数据,如果攻击者监听网络中传送的数据包
18
本地扫描器
本地扫描器分析文件的内容,查找可能存在的配 置问题。由于本地扫描器实际上是运行于目标结 点上的进程,具有以下几个特点:
可以在系统上任意创建进程。为了运行某些程序, 检测缓冲区溢出攻击,要求扫描器必须做到这一点。 可以检查到安全补丁一级,以确保系统安装了最 新的安全解决补丁。 可以通过在本地查看系统配置文件,检查系统的 配置错误。
19
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓系统完整性检查
✓关键系统文件变化检测
✓用户账户变化检测
✓黑客入侵标记检测
✓未知程序版本
✓不常见文件名
✓可疑设备文件
✓未经授权服务
✓弱口令选择检测
✓有安全漏洞程序版本检测
✓标记可被攻击程序
✓报告需要安装的安全补丁
✓检查系统配置安全性
✓全局信任文件
(7) 用户自定义接口 一些扫描器允许用户 自己添加扫描规则,并为用户提供一个便 利的接口,比如俄罗斯SSS的Base SDK
17
系统扫描如何提高系统安全性
安全扫描器可以通过两种途径提高系统安 全性。
一是提前警告存在的漏洞,从而预防入侵 和误用
二是检查系统中由于受到入侵或操作失误 而造成的新漏洞。
13
(4).系统扫描器用于扫描本地主机,查找安全漏洞,
查杀病毒,木马,蠕虫等危害系统安全的恶意程序, 此类非本文重点,因此不再祥细分析
(5).另外还有一种相对少见的数据库扫描器,
比如ISS公司的 Database Scanner,工作机 制类似于网络扫描器 ,主要用于检测数据库 系统的安全漏洞及各种隐患。
(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表 项以拒绝对合法系统或网络提供服务。
7
利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要
的表现形式:特洛伊木马和缓冲区溢出。 (1)特洛伊木马:表面看是有用的软件工具,而实际上却在启动
后暗中安装破坏性的软件。 (2)缓冲区溢出攻击(Buffer Overflow):通过往程序的缓冲区
20
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓ crontab文件 ✓ rc系统启动文件 ✓ 文件系统mount权限 ✓ 打印服务 ✓ 账户配置 ✓ 组配置 ✓ 检查网络服务安全性 ✓ 是否允许IP转发 ✓ 标记有风险服务 ✓ FTP配置 ✓ news服务器配置 ✓ NFS配置
21
本地扫描器
3
10.1.2 安全威胁分析
计算机面临的安全威胁有来自计算机系统外部的,也有来 自计算机系统内部的。
来自计算机系统外部的威胁主要有: 自然灾害、意外事故; 计算机病毒 人为行为,比如使用不当、安全意识差等; “黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务、
非法连接等; 内部泄密 外部泄密 信息丢失 电子谍报,比如信息流量分析、信息窃取等; 信息战;
顾名思义也就是对环境的了解,目的是要了解目标采用的是什么操作系统 ,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将 要发动的攻击起着至关重要的作用。 攻击系统 在窥探设施的工作完成后,入侵者将根据得到的信息对系统发动攻击。攻 击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三 个层次。 掩盖踪迹 入侵者会千方百计的避免自己被检测出来。
11
安全扫描器的类型
安全扫描其主要有两种类型: (1)本地扫描器或系统扫描器:扫描 器和待检系统运行于统一结点,进行自 身检测。 (2)远程扫描器或网络扫描器:扫描 器和待检查系统运行于不同结点,通过 网络远程探测目标结点,寻找安全漏洞。
12
(3)网络扫描器通过网络来测试主机安全
性,它检测主机当前可用的服务及其开放端 口,查找可能被远程试图恶意访问者攻击的 大量众所周知的漏洞,隐患及安全脆弱点。 甚至许多扫描器封装了简单的密码探测,可 自设定规则的密码生成器、后门自动安装装 置以及其他一些常用的小东西,这样的工具 就可以称为网络扫描工具包,也就是完整的网 络主机安全评价工具[比如鼻祖SATAN和国内 最负盛名的流光
23
远程扫描器
远程扫描器检查网络和分布式系统的 安全漏洞。远程扫描器通过执行一整套综 合的穿透测试程序集,发送精心构造的数 据包来检测目标系统。被测系统和扫描器 的操作系统可以是同一类型,也可以是不 同类型的。
24
远程扫描器
远程扫描需要检查的项目很多,这些项目又可以分为以下几大类:
25
安全扫描系统的选择与注意事项
安全扫描技术概论
安全扫描技术是指手工的或使用指定的软 件工具----安全扫描器,对系统脆弱点进行 评估,寻找对系统扫成损害的安全漏洞。
扫描可以分为系统扫描和网络扫描两个方 面,系统扫描侧重主机系统的平台安全性 以及基于此平台的系统安全性,而网络扫 描则侧重于系统提供的网络应用和服务以 及相关的协议分析。
服务是他们使用的最多的网络服务之一。常见的通过电子邮件的攻击 方法有:隐藏发信人的身份,发送匿名或垃圾信件;使用用户熟悉的 人的电子邮件地址骗取用户的信任;通过电子邮件执行恶意的代码。
(2)IP欺骗:IP欺骗的主要动机是隐藏自己的IP地址,防止被跟 踪。
10
扫描的目的
扫描的主要目的是通过一定的手段和方法 发现系统或网络存在的隐患,以利于己方 及时修补或发动对敌方系统的攻击。
同时,自动化的安全扫描器要对目标系统 进行漏洞检测和分析,提供详细的漏洞描 述,并针对安全漏洞提出修复建议和安全 策略,生成完整的安全性分析报告,为网 路管理完善系统提供重要依据。
,就可以得到口令。在这种情况下,一次性口令是有效的解
决方法。
6
拒绝服务攻击 拒绝服务站DOS (Denial of Services)使得目标系统无法提供正
常的服务,从而可能给目标系统带来重大的损失。值得关注的是,现实 情况中破坏一个网络或系统的运行往往比取得访问权容易得多。像 TCP/IP之类的网络互联协议是按照在彼此开放和信任的群体中使用来 设计的,在现实环境中表现出这种理念的内在缺陷。此外,许多操作系 统和网络设备的网络协议栈也存在缺陷,从而削弱了抵抗DOS攻击的 能力。 下面介绍4种常见的DOS攻击类型及原理。
(1)带宽耗用(bandwidth-consumption):其本质是攻击者消 耗掉通达某个网络的所有可用带宽。
(2)资源耗竭(resource-starvation):一般地说,它涉及诸如 CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗 。
(3)编程缺陷(programming flaw):是应用程序、操作系统或 嵌入式CPU在处理异常文件上的失败。
(3) 密码探测 检测 操作系统用户密码, FTP、POP3、Telnet等等登陆或管理密码 的脆弱性
16
(4) D.o.S探测 检测 各种拒绝服务漏洞 是否存在
(5)系统探测 检测 系统信息比如NT 注 册表,用户和组,网络情况等
(6) 输出报告 将检测结果整理出清单报 告给用户,许多扫描器也会同时提出安全 漏洞解决方案
1
10.1 安全威胁分析
10.1.1 入侵行为分析
怎样才算是受到了黑客的入侵和攻击呢? 狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络 中。 广义的定义认为:使网络受到入侵和破坏的所有行为都应被称为“攻击”。 本书采用广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻 起,攻击就已经发生了。 下面我们从以下几个方面对入侵行为进行分析: (1)入侵目的 执行过程 获取文件和数据 获取超级用户权限 进行非授权操作 使用系统拒绝服务 篡改信息 披露信息
2
(2)实施入侵的人员 伪装者:未经授权使用计算机者或者绕开系统访问机制获得合法用户账户
权限者。
违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问 权限错误使用其权利的用户。
秘密用户:拥有账户管理权限者,利用这种机制来逃避审计和访问数据库 ,或者禁止收集审计数据的用户。
(3)入侵过程中的各个阶段和各个阶段的不同特点 窥探设施
5
攻击的分类方法是多种多样的。这里根据入侵者使用的 方式和手段,将攻击进行分类。
口令攻击
抵抗入侵者的第一道防线是口令系统。几乎所有的多用
户系统都要求用户不但提供一个名字或标识符(ID),而且 要提供一个口令。口令用来鉴别一个注册系统的个人ID。在 实际系统中,入侵者总是试图通过猜测或获取口令文件等方
28
可扩充性
对具有比较深厚的网络知识,并且希望自己扩充 产品功能的用户来说,应用了功能模块或插件技 术的产品应该是首选。
29
全面的解决方案
14
扫描技术工具
信息收集是入侵及安全状况分析的基础,传统地手工收集 信息耗时费力,于是扫描工具出现了,它能依照程序设定 自动探测及发掘规则内的漏洞,是探测系统缺陷的安全工 具。
15
扫描器主要功能
(1) 端口及服务检测 检测 目标主机上开 放端口及运行的服务,并提示安全隐患的 可能存在与否
(2) 后门程序检测 检测 PCANYWAY VNC BO2K 冰河等等远程控制程序是否有 存在于目标主机
4
计算机系统内部存在的安全威胁主要有: 操作系统本身所存在的一些缺陷; 数据库管理系统安全的脆弱性; 管理员缺少安全方面的知识,缺少安全管理的技术规范,缺少定期的安
全测试与检查; 网络协议中的缺陷,例如TCP/IP协议的安全问题; 应用系统缺陷,等等; 在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。
(3)Web欺骗:由于Internet的开放性,任何用户都可以建立 自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见 的Web欺骗的形式有:使用相似的域名;改写 URL、Web会话挟持 等。
(4)DNS欺骗:修改上一级DNS服务记录,重定向DSN请求, 使受害者获得不正确的IP地址
9
① 升级问题 ② 可扩充性 ③ 全面的解决方案 ④ 人员培训
26
安全扫描技术
也许有些计算 机安全管理人 员开始考虑购 买一套安全扫 描系统,那么 ,购买此类产 品需要考虑哪 些方面呢?
27
升级问题
由于当今应用软件功能日趋复杂化、软件 公司在编写软件时很少考虑安全性等等多 种原因,网络软件漏洞层出不穷,这使优 秀的安全扫描系统必须有良好的可扩充性 和迅速升级的能力。因此,在选择产品时 ,首先要注意产品是否能直接从因特网升 级、升级方法是否能够被非专业人员掌握 ,同时要注意产品制造者有没有足够的技 术力量来保证对新出现漏洞作出迅速的反 应
对Unix系统,需要进行以下项目的检查:
✓邮件服务器配置 ✓检查用户环境变量安全性 ✓系统文件属主 ✓系统文件权限许可 ✓文件属主及权限许可 ✓sell启动文件 ✓用户信任文件 ✓应用程序配置文档 ✓其他
22
本地扫描器
对Windows NT/2000系统,还有一些特定的安全检查项目
✓是否允许建立guest账户 ✓guest账户有无口令 ✓口令构造和过时原则 ✓弱口令选择 ✓登陆失败临界值 ✓注册表权限许可 ✓允许远程注册访问 ✓独立的注册设置 ✓对系统文件和目录不正确的分配许可权 ✓非NT缺省配置的未知服务 ✓运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等 ✓带有许可访问控制设置的共享,可能给远程用户全部访问权 ✓其他
写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程 序转而执行一段恶意代码,以达到攻击的目的。
信息收集型攻击 信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步
的入侵提供必须的信息,这种攻击手段大部分在黑客入侵三部曲中的第 一步—窥探设施时使用。
8
假消息攻击 攻击者用配备不正确的消息来欺骗目标系统,以达到攻击的目的
式来获得系统认证的口令,从而进入系统。入侵者登陆后,
便可以查找系统的其他安全漏洞,来得到进一步的特权。为
了避免入侵者轻易的猜测出口令,用户应避免使用不安全的 Байду номын сангаас令。
有时候即使好的口令也是不够的,尤其当口令需要穿过
不安全的网络时将面临极大的危险。很多的网络协议中是以
明文的形式传输数据,如果攻击者监听网络中传送的数据包
18
本地扫描器
本地扫描器分析文件的内容,查找可能存在的配 置问题。由于本地扫描器实际上是运行于目标结 点上的进程,具有以下几个特点:
可以在系统上任意创建进程。为了运行某些程序, 检测缓冲区溢出攻击,要求扫描器必须做到这一点。 可以检查到安全补丁一级,以确保系统安装了最 新的安全解决补丁。 可以通过在本地查看系统配置文件,检查系统的 配置错误。
19
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓系统完整性检查
✓关键系统文件变化检测
✓用户账户变化检测
✓黑客入侵标记检测
✓未知程序版本
✓不常见文件名
✓可疑设备文件
✓未经授权服务
✓弱口令选择检测
✓有安全漏洞程序版本检测
✓标记可被攻击程序
✓报告需要安装的安全补丁
✓检查系统配置安全性
✓全局信任文件
(7) 用户自定义接口 一些扫描器允许用户 自己添加扫描规则,并为用户提供一个便 利的接口,比如俄罗斯SSS的Base SDK
17
系统扫描如何提高系统安全性
安全扫描器可以通过两种途径提高系统安 全性。
一是提前警告存在的漏洞,从而预防入侵 和误用
二是检查系统中由于受到入侵或操作失误 而造成的新漏洞。
13
(4).系统扫描器用于扫描本地主机,查找安全漏洞,
查杀病毒,木马,蠕虫等危害系统安全的恶意程序, 此类非本文重点,因此不再祥细分析
(5).另外还有一种相对少见的数据库扫描器,
比如ISS公司的 Database Scanner,工作机 制类似于网络扫描器 ,主要用于检测数据库 系统的安全漏洞及各种隐患。
(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表 项以拒绝对合法系统或网络提供服务。
7
利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要
的表现形式:特洛伊木马和缓冲区溢出。 (1)特洛伊木马:表面看是有用的软件工具,而实际上却在启动
后暗中安装破坏性的软件。 (2)缓冲区溢出攻击(Buffer Overflow):通过往程序的缓冲区
20
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓ crontab文件 ✓ rc系统启动文件 ✓ 文件系统mount权限 ✓ 打印服务 ✓ 账户配置 ✓ 组配置 ✓ 检查网络服务安全性 ✓ 是否允许IP转发 ✓ 标记有风险服务 ✓ FTP配置 ✓ news服务器配置 ✓ NFS配置
21
本地扫描器
3
10.1.2 安全威胁分析
计算机面临的安全威胁有来自计算机系统外部的,也有来 自计算机系统内部的。
来自计算机系统外部的威胁主要有: 自然灾害、意外事故; 计算机病毒 人为行为,比如使用不当、安全意识差等; “黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务、
非法连接等; 内部泄密 外部泄密 信息丢失 电子谍报,比如信息流量分析、信息窃取等; 信息战;
顾名思义也就是对环境的了解,目的是要了解目标采用的是什么操作系统 ,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将 要发动的攻击起着至关重要的作用。 攻击系统 在窥探设施的工作完成后,入侵者将根据得到的信息对系统发动攻击。攻 击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三 个层次。 掩盖踪迹 入侵者会千方百计的避免自己被检测出来。
11
安全扫描器的类型
安全扫描其主要有两种类型: (1)本地扫描器或系统扫描器:扫描 器和待检系统运行于统一结点,进行自 身检测。 (2)远程扫描器或网络扫描器:扫描 器和待检查系统运行于不同结点,通过 网络远程探测目标结点,寻找安全漏洞。
12
(3)网络扫描器通过网络来测试主机安全
性,它检测主机当前可用的服务及其开放端 口,查找可能被远程试图恶意访问者攻击的 大量众所周知的漏洞,隐患及安全脆弱点。 甚至许多扫描器封装了简单的密码探测,可 自设定规则的密码生成器、后门自动安装装 置以及其他一些常用的小东西,这样的工具 就可以称为网络扫描工具包,也就是完整的网 络主机安全评价工具[比如鼻祖SATAN和国内 最负盛名的流光
23
远程扫描器
远程扫描器检查网络和分布式系统的 安全漏洞。远程扫描器通过执行一整套综 合的穿透测试程序集,发送精心构造的数 据包来检测目标系统。被测系统和扫描器 的操作系统可以是同一类型,也可以是不 同类型的。
24
远程扫描器
远程扫描需要检查的项目很多,这些项目又可以分为以下几大类:
25
安全扫描系统的选择与注意事项
安全扫描技术概论
安全扫描技术是指手工的或使用指定的软 件工具----安全扫描器,对系统脆弱点进行 评估,寻找对系统扫成损害的安全漏洞。
扫描可以分为系统扫描和网络扫描两个方 面,系统扫描侧重主机系统的平台安全性 以及基于此平台的系统安全性,而网络扫 描则侧重于系统提供的网络应用和服务以 及相关的协议分析。