常用安全扫描工具
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用Nessus内置的 DUP 扫描器来识别目标开放的 UDP端口。
使用Nessus内置的SYN扫描器来识别目标开放的TCP端口。SYN扫描器是一 个流行的端口扫描方法,通常被认为比TCP扫描更为intrusive(打扰),扫 描器向端口发送一个SYN数据包,等待 SYN-ACK回复,通过是否回复决定
•内容提要 • 1.常见扫描工具
• 2.安全漏扫 • 3.前次总结
安全漏扫
• 漏洞扫描主要是对网络中设备存在的漏洞进行发现,从上面的扫描原理可以 看出漏洞扫描同时也一种比较危险的行为,他有可能造成: ➢设备资源利用偏高 ➢设备应用服务不可用 ➢设备自身不可用 ➢网络阻塞 • 安全使用漏洞扫描 才能达到“取其利,避其害”的效果
络实际负载,建议在2
Max Simultaneous TCP Sessions
Per Host : 10-50;
Max Simultaneous TCP Sessions
Per Scan :100-500;
设备类型
扫描策略总结
扫描策略
基本扫描插件
Red Hat Linux
Safe Checks;
Stop Host Scan on Disconnect;
•服务识别 ❖根据telnet相关端口获取信息 • 执行telnet host port,根据返回信息判断 ❖根据对get的返回进行判断 • get的返回中存在相关的服务信息 ❖服务指纹识别 • 通对服务 中数据包的分析得出相关的信息 • •弱口令扫描 ❖ 外部探测,基于用户名和密码字典的探测 ❖ 内部分析: 通过对密码文件和密码的结合进行分析
•设备操作系统探测 ❖ 主动协议栈指纹识别:TCP包的顺序,FIN识别, DF位识别,ACK序号识别 ❖ 被动协议栈指纹识别: 通过对网络包的分析,主要 是TTL,窗口大小,DF,TOS
常见扫描工具
•端口扫描 ❖TCP Connect扫描
• 常见端口扫描
• 与每个TCP端口进行三次握手通信, ❖SYN扫描
Nessus任务建立
• 新建扫描,点击右下角Launch Scan开始扫描:
•扫描目标可以是单个IP地址,如 192.168.*.*,不同的IP地址用“,”隔开; •也可以是一个网段192.168.*.1-32
Nessus结果查看
• Reports可以看到查看扫描报告和扫描进度:
绿盟极光插件管理
•漏洞扫描实现方式 ❖ 漏洞库和规则库的比对 ❖ 插件的技术
常见扫描工具
•设备存活扫描 ❖ ICMP 探测 (ping):ICMP包的探测 ❖ 异常的IP包头 : 设备对异常的IP包有反馈错误信 息 ❖错误的数据分片 : 设备在超时时间内收不到更正信 息,会返回超时信息 ❖通过超长的包探测内部路由器
• 介绍两款扫描器的使用安全 ➢ Nessus ➢ 绿盟极光
Nessus安装
• 1. 从http://www.nessus.org/download/index.php?product=nessus32win下载最新的nessus软件。
• 2.注册,插件的升级 • (需要直接连接外网才可升级), • 用户的添加
• 主要是进行插件模板的管理
绿盟极光扫描策略
• 扫描参数应该根据实际的情况进行调整
绿盟极光密码策略
• 根据实现的情况添加用户名和密码,例如系统的oracle用户, • 数据库的用户名等等
注意要点
•
正确的使用漏洞扫描器能减少网络中威胁和隐患的存在,而要正确的
使用漏洞扫描器需要注意以下几点:
➢ 不能认为只有连接在互联网上的机器才需要扫描。漏洞扫描也应当包含对内
Avoid Sequential Scans
如果选上,若主机没有反应Nessus将会停止扫描,在一个扫描过 程中,如果用户关掉 PCs,将会发生这种情况。在拒绝服务插件 或一个安全机制开始对服务器阻塞之后,主机停止反应 (例如: IDS) 。继续对这些主机扫描将会通过网络发送不必要的流量并延
迟扫描。
常见扫描工具
•为什么需要漏洞扫描
❖ 由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂, 导致新的系统漏洞层出不穷
❖ 由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在 ❖ 许多人出于好奇或别有用心,不停的窥视网上资源
•漏洞扫描做什么
❖ 扫描目标主机识别其工作状态(开/关机) ❖ 识别目标主机端口的状态(监听/关闭) ❖ 识别目标主机系统及服务程序的类型和版本 ❖ 根据已知漏洞信息,分析系统脆弱点 ❖ 生成扫描结果报告
Congestion;
General;
TCP Scan;
denial of service
UDP Scan;
Gain a shell
SYN Scan;
remotely
Max Checks Per Host:默认值
Max Checks Per Scan:默认值
Network Receive Timeout:根据网
➢ 关闭不常见的端口扫描策略 (比如ping 、WMI、SSH)
➢ 同一次扫描中用同一类型的设备(减少次扫描中的策略数)
➢ 根据扫描的设备类型和设备上加载的服务选择相关的插件(减少不同系统间
插件冲突带来的安全隐患)
设备类型
windows
扫描策略总结
扫描策略
基本扫描插件
Safe Checks;
Windows;
。
Ping Host
这个选项使远程主机在多个端口ping来确认他们是否活动。
Nessus扫描策略
• Performance组给出两个选项来控制将会使用多少个扫描。 • 当配置的一个扫描对扫描时间和网络活动有重要影响, • 这些选项将会非常有用。
选项 Max Checks Per Host
Max Checks Per Scan
Max Simultaneous TCP Sessions Per Host
Max Simultaneous TCP Sessions Per Scan
设置限制对单一主机建立的TCP会话的最大个数 。
设置限制对整个扫描建立的TCP会话的最大个数 ,而不管被扫描的主机数。
Nessus扫描插件
• 扫描前必需根据扫描的设备范围制定扫描策略
➢ 漏洞扫描的策略问题。漏洞扫描同时也一种比较危险的行为,在进行的同时
需要对漏洞扫描的策略进行定制,达到安全扫描目的
扫描策略总结
•
扫描自身也是一个危险的行为,可能会导致一些异常的出现,而为了
减少这些异常的发生,我们可以做:
➢ 减少一次扫描的设备数(尽量不使用一个整网段的扫描)
➢ 根据设备的负载调整扫描参数(主要是连接数)
描述
当Nessus发送大量的数据包并使网络通道达到最大时,使 Nessus能够检测出来。如果检测,Nessus将会控制扫描来适应和 减小拥塞。一旦拥塞变小,Nessus将会自动的尝试使用网络通
道中可用的空间。
能够使Nessus监视CPU和其他内部运行的程序来拥塞控制, 相应规模变小。Nessus将会尝试使用更多的可用资源。这个特
❖ nmap ❖ 各类漏洞扫描器
• 发送初始的SYN数据包给目标主机
❖NULL扫描
• 将一个没有标志位的数据包发送给TCP端口
❖FIN扫描 (反向扫描)
• 一个FIN的数据包被发送给目标主机的每个端口
❖ACK扫描
• ACK 扫描通常用来穿过防火墙的规则集
❖UDP扫描
• 发送UDP包到端口
常见扫描工具
Avoid Sequential Scans;
默认情况下,Nessus 按次序扫描 IP 地址列表。如果选上,Nessus 将会随机扫描主机列表。在一个大规模扫中,分配特定子网的网
络流量,将会非常有用。
Consider Unscanned Ports as Closed
DesignateHosts by their DNSName
如果一个端口没有被端口扫描器(例如:超出指定范围)发现,就认 为这个端口是关闭的。
Network Receive Timeout(seconds)
描述 设置限制Nessus扫描器一次攻击单个主机检查的
最大个数。
设置限制Nessus扫描器同时扫描的最大主机个数 。
默认设置为5。这个时间是Nessus将会等待主机响 应的时间直到使用其他指定的插件。如果在低连
通下扫描,最好把它设置为更大值。
输出的报告使用主机名而不是IP地址。
Nessus扫描策略
•“Network”组给出了基于被扫描目标网络的更好的控制扫描的选项
选项 Reduce Parallel Connections on Congestion
Use Kernel Congestion Detection
(Linux only)
常见扫描工具
•漏洞扫描
• 漏洞扫描原理 ❖ 通过对端口的扫描以及服务的探测,得到设备 上安装的服务,并且通过发送请求的方式获取服务 的版本信息,凭版本号就可获取很多漏洞信息 ❖ 尝试对系统进行攻击的方式,这个是最有效的 发现漏洞的方式,通过设备对攻击包的响应获取漏 洞信息 ❖ 被动监听,通过网络数据的分析来实现漏洞的发 现
Nessus扫描策略
•扫描前必需根据扫描的设备范围制定扫描策略
Nessus扫描策略
Save KnowledgeFra Baidu bibliotekBase
Safe Checks Silent Dependencies
Log Scan Details to Server
Nessus扫描器可以把扫描信息保存到Nessus服务器知识库中, 以便将来使用。包括开放的端口,成功匹配的插件,发现的服务
Stop Host Scan on Disconnect; Windows:Microsof
Avoid Sequential Scans;
t Bulletin;
Consider Unscanned Ports as
Windows: user
Closed;
Manager;
Reduce Parallel Connections on Backdoor;
常用安全扫描工具
•内容提要 • 1.常见扫描工具
• 2.安全漏扫 • 3.前次总结
扫描类型
网络漏洞扫描
端口扫描 WEB扫描 弱口令扫描
常见扫描工具
扫描器
绿盟极光 nessus 启明天镜 X-scan nmap IBM Rational AppScan HP WebInspect 安恒明鉴 hydra X-scan
等 使对远程主机造成破坏的插件失效。
如果这个选项被选上,报告中将不会包括依赖列表。若想在报告 中包括依赖列表,请不要选择。
保存扫描的更多的细节到服务器日志(.nessusd 信息)。包括:已使 用的插件,完成的插件,被终止的插件。结果日志可以被用来确
认特定的插件被使用,特定的主机被扫描。
Stop Host Scan on Disconnect
端口的状态。
使Nessus用于扫描目标的SNMP服务,在一个扫描中,Nessus将会猜测相关 的SNMP设置。如果这个设置在“Preferences”下通过用户提供,将允许
Nessus 更好的检查远程主机,提供更细致的审计结果。例如,很多思科路由 器通过检查返回的SNMP字符串的版本来确认漏洞。这个信息对于那些审计
部网络中没有与互联网连接的系统进行审计,目的是检查和评估欺诈性软件
威胁,以及恶意的雇员造成的威胁
➢ 漏洞扫描的频度问题。网络是一个动态变化的实体,特别是一些程序经常需
要更新,一些新的软件可能经常需要安装到服务器上,这可能会给造成新的
安全威胁。新的漏洞和程序缺陷几乎每天都在被发现。所以定期更新相关的
漏洞库和对设备的扫描是必需的,这个可以在目前的安全管理平台来实现。
更有必要。
这个选项使用本地主机的netstat来检查开放的端口。它依赖于netstat命令通过 SSH 连接到目标。这个扫描为基于 Unix 的系统做准备,并需要认证证书。
Netstat WMI Scan 这个选项使用本地主机的netstat来检查开放的端口。它依赖于netstat命令通过
WMI连接到目标。这个扫描为基于Windows的系统做准备,并需要认证证书
征仅仅适用于部署在Linux上的Nessus扫描器
Nessus扫描策略
• Ports Scanners组控制扫描中将会使用哪些端口扫描方法。
选项 TCP Scan UDP Scan SYN Scan
SNMP Scan
Netstat SSH Scan
描述
使用Nessus内置的TCP扫描器来识别目标开放的TCP端口。这个扫描器是最 优的同时有很多 self-tuning特征。
使用Nessus内置的SYN扫描器来识别目标开放的TCP端口。SYN扫描器是一 个流行的端口扫描方法,通常被认为比TCP扫描更为intrusive(打扰),扫 描器向端口发送一个SYN数据包,等待 SYN-ACK回复,通过是否回复决定
•内容提要 • 1.常见扫描工具
• 2.安全漏扫 • 3.前次总结
安全漏扫
• 漏洞扫描主要是对网络中设备存在的漏洞进行发现,从上面的扫描原理可以 看出漏洞扫描同时也一种比较危险的行为,他有可能造成: ➢设备资源利用偏高 ➢设备应用服务不可用 ➢设备自身不可用 ➢网络阻塞 • 安全使用漏洞扫描 才能达到“取其利,避其害”的效果
络实际负载,建议在2
Max Simultaneous TCP Sessions
Per Host : 10-50;
Max Simultaneous TCP Sessions
Per Scan :100-500;
设备类型
扫描策略总结
扫描策略
基本扫描插件
Red Hat Linux
Safe Checks;
Stop Host Scan on Disconnect;
•服务识别 ❖根据telnet相关端口获取信息 • 执行telnet host port,根据返回信息判断 ❖根据对get的返回进行判断 • get的返回中存在相关的服务信息 ❖服务指纹识别 • 通对服务 中数据包的分析得出相关的信息 • •弱口令扫描 ❖ 外部探测,基于用户名和密码字典的探测 ❖ 内部分析: 通过对密码文件和密码的结合进行分析
•设备操作系统探测 ❖ 主动协议栈指纹识别:TCP包的顺序,FIN识别, DF位识别,ACK序号识别 ❖ 被动协议栈指纹识别: 通过对网络包的分析,主要 是TTL,窗口大小,DF,TOS
常见扫描工具
•端口扫描 ❖TCP Connect扫描
• 常见端口扫描
• 与每个TCP端口进行三次握手通信, ❖SYN扫描
Nessus任务建立
• 新建扫描,点击右下角Launch Scan开始扫描:
•扫描目标可以是单个IP地址,如 192.168.*.*,不同的IP地址用“,”隔开; •也可以是一个网段192.168.*.1-32
Nessus结果查看
• Reports可以看到查看扫描报告和扫描进度:
绿盟极光插件管理
•漏洞扫描实现方式 ❖ 漏洞库和规则库的比对 ❖ 插件的技术
常见扫描工具
•设备存活扫描 ❖ ICMP 探测 (ping):ICMP包的探测 ❖ 异常的IP包头 : 设备对异常的IP包有反馈错误信 息 ❖错误的数据分片 : 设备在超时时间内收不到更正信 息,会返回超时信息 ❖通过超长的包探测内部路由器
• 介绍两款扫描器的使用安全 ➢ Nessus ➢ 绿盟极光
Nessus安装
• 1. 从http://www.nessus.org/download/index.php?product=nessus32win下载最新的nessus软件。
• 2.注册,插件的升级 • (需要直接连接外网才可升级), • 用户的添加
• 主要是进行插件模板的管理
绿盟极光扫描策略
• 扫描参数应该根据实际的情况进行调整
绿盟极光密码策略
• 根据实现的情况添加用户名和密码,例如系统的oracle用户, • 数据库的用户名等等
注意要点
•
正确的使用漏洞扫描器能减少网络中威胁和隐患的存在,而要正确的
使用漏洞扫描器需要注意以下几点:
➢ 不能认为只有连接在互联网上的机器才需要扫描。漏洞扫描也应当包含对内
Avoid Sequential Scans
如果选上,若主机没有反应Nessus将会停止扫描,在一个扫描过 程中,如果用户关掉 PCs,将会发生这种情况。在拒绝服务插件 或一个安全机制开始对服务器阻塞之后,主机停止反应 (例如: IDS) 。继续对这些主机扫描将会通过网络发送不必要的流量并延
迟扫描。
常见扫描工具
•为什么需要漏洞扫描
❖ 由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂, 导致新的系统漏洞层出不穷
❖ 由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在 ❖ 许多人出于好奇或别有用心,不停的窥视网上资源
•漏洞扫描做什么
❖ 扫描目标主机识别其工作状态(开/关机) ❖ 识别目标主机端口的状态(监听/关闭) ❖ 识别目标主机系统及服务程序的类型和版本 ❖ 根据已知漏洞信息,分析系统脆弱点 ❖ 生成扫描结果报告
Congestion;
General;
TCP Scan;
denial of service
UDP Scan;
Gain a shell
SYN Scan;
remotely
Max Checks Per Host:默认值
Max Checks Per Scan:默认值
Network Receive Timeout:根据网
➢ 关闭不常见的端口扫描策略 (比如ping 、WMI、SSH)
➢ 同一次扫描中用同一类型的设备(减少次扫描中的策略数)
➢ 根据扫描的设备类型和设备上加载的服务选择相关的插件(减少不同系统间
插件冲突带来的安全隐患)
设备类型
windows
扫描策略总结
扫描策略
基本扫描插件
Safe Checks;
Windows;
。
Ping Host
这个选项使远程主机在多个端口ping来确认他们是否活动。
Nessus扫描策略
• Performance组给出两个选项来控制将会使用多少个扫描。 • 当配置的一个扫描对扫描时间和网络活动有重要影响, • 这些选项将会非常有用。
选项 Max Checks Per Host
Max Checks Per Scan
Max Simultaneous TCP Sessions Per Host
Max Simultaneous TCP Sessions Per Scan
设置限制对单一主机建立的TCP会话的最大个数 。
设置限制对整个扫描建立的TCP会话的最大个数 ,而不管被扫描的主机数。
Nessus扫描插件
• 扫描前必需根据扫描的设备范围制定扫描策略
➢ 漏洞扫描的策略问题。漏洞扫描同时也一种比较危险的行为,在进行的同时
需要对漏洞扫描的策略进行定制,达到安全扫描目的
扫描策略总结
•
扫描自身也是一个危险的行为,可能会导致一些异常的出现,而为了
减少这些异常的发生,我们可以做:
➢ 减少一次扫描的设备数(尽量不使用一个整网段的扫描)
➢ 根据设备的负载调整扫描参数(主要是连接数)
描述
当Nessus发送大量的数据包并使网络通道达到最大时,使 Nessus能够检测出来。如果检测,Nessus将会控制扫描来适应和 减小拥塞。一旦拥塞变小,Nessus将会自动的尝试使用网络通
道中可用的空间。
能够使Nessus监视CPU和其他内部运行的程序来拥塞控制, 相应规模变小。Nessus将会尝试使用更多的可用资源。这个特
❖ nmap ❖ 各类漏洞扫描器
• 发送初始的SYN数据包给目标主机
❖NULL扫描
• 将一个没有标志位的数据包发送给TCP端口
❖FIN扫描 (反向扫描)
• 一个FIN的数据包被发送给目标主机的每个端口
❖ACK扫描
• ACK 扫描通常用来穿过防火墙的规则集
❖UDP扫描
• 发送UDP包到端口
常见扫描工具
Avoid Sequential Scans;
默认情况下,Nessus 按次序扫描 IP 地址列表。如果选上,Nessus 将会随机扫描主机列表。在一个大规模扫中,分配特定子网的网
络流量,将会非常有用。
Consider Unscanned Ports as Closed
DesignateHosts by their DNSName
如果一个端口没有被端口扫描器(例如:超出指定范围)发现,就认 为这个端口是关闭的。
Network Receive Timeout(seconds)
描述 设置限制Nessus扫描器一次攻击单个主机检查的
最大个数。
设置限制Nessus扫描器同时扫描的最大主机个数 。
默认设置为5。这个时间是Nessus将会等待主机响 应的时间直到使用其他指定的插件。如果在低连
通下扫描,最好把它设置为更大值。
输出的报告使用主机名而不是IP地址。
Nessus扫描策略
•“Network”组给出了基于被扫描目标网络的更好的控制扫描的选项
选项 Reduce Parallel Connections on Congestion
Use Kernel Congestion Detection
(Linux only)
常见扫描工具
•漏洞扫描
• 漏洞扫描原理 ❖ 通过对端口的扫描以及服务的探测,得到设备 上安装的服务,并且通过发送请求的方式获取服务 的版本信息,凭版本号就可获取很多漏洞信息 ❖ 尝试对系统进行攻击的方式,这个是最有效的 发现漏洞的方式,通过设备对攻击包的响应获取漏 洞信息 ❖ 被动监听,通过网络数据的分析来实现漏洞的发 现
Nessus扫描策略
•扫描前必需根据扫描的设备范围制定扫描策略
Nessus扫描策略
Save KnowledgeFra Baidu bibliotekBase
Safe Checks Silent Dependencies
Log Scan Details to Server
Nessus扫描器可以把扫描信息保存到Nessus服务器知识库中, 以便将来使用。包括开放的端口,成功匹配的插件,发现的服务
Stop Host Scan on Disconnect; Windows:Microsof
Avoid Sequential Scans;
t Bulletin;
Consider Unscanned Ports as
Windows: user
Closed;
Manager;
Reduce Parallel Connections on Backdoor;
常用安全扫描工具
•内容提要 • 1.常见扫描工具
• 2.安全漏扫 • 3.前次总结
扫描类型
网络漏洞扫描
端口扫描 WEB扫描 弱口令扫描
常见扫描工具
扫描器
绿盟极光 nessus 启明天镜 X-scan nmap IBM Rational AppScan HP WebInspect 安恒明鉴 hydra X-scan
等 使对远程主机造成破坏的插件失效。
如果这个选项被选上,报告中将不会包括依赖列表。若想在报告 中包括依赖列表,请不要选择。
保存扫描的更多的细节到服务器日志(.nessusd 信息)。包括:已使 用的插件,完成的插件,被终止的插件。结果日志可以被用来确
认特定的插件被使用,特定的主机被扫描。
Stop Host Scan on Disconnect
端口的状态。
使Nessus用于扫描目标的SNMP服务,在一个扫描中,Nessus将会猜测相关 的SNMP设置。如果这个设置在“Preferences”下通过用户提供,将允许
Nessus 更好的检查远程主机,提供更细致的审计结果。例如,很多思科路由 器通过检查返回的SNMP字符串的版本来确认漏洞。这个信息对于那些审计
部网络中没有与互联网连接的系统进行审计,目的是检查和评估欺诈性软件
威胁,以及恶意的雇员造成的威胁
➢ 漏洞扫描的频度问题。网络是一个动态变化的实体,特别是一些程序经常需
要更新,一些新的软件可能经常需要安装到服务器上,这可能会给造成新的
安全威胁。新的漏洞和程序缺陷几乎每天都在被发现。所以定期更新相关的
漏洞库和对设备的扫描是必需的,这个可以在目前的安全管理平台来实现。
更有必要。
这个选项使用本地主机的netstat来检查开放的端口。它依赖于netstat命令通过 SSH 连接到目标。这个扫描为基于 Unix 的系统做准备,并需要认证证书。
Netstat WMI Scan 这个选项使用本地主机的netstat来检查开放的端口。它依赖于netstat命令通过
WMI连接到目标。这个扫描为基于Windows的系统做准备,并需要认证证书
征仅仅适用于部署在Linux上的Nessus扫描器
Nessus扫描策略
• Ports Scanners组控制扫描中将会使用哪些端口扫描方法。
选项 TCP Scan UDP Scan SYN Scan
SNMP Scan
Netstat SSH Scan
描述
使用Nessus内置的TCP扫描器来识别目标开放的TCP端口。这个扫描器是最 优的同时有很多 self-tuning特征。