6-常用安全扫描工具
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
常见扫描工具
漏洞扫描
漏洞扫描原理 通过对端口的扫描以及服务的探测,得到设备 上安装的服务,并且通过发送请求的方式获取服务 的版本信息,凭版本号就可获取很多漏洞信息 尝试对系统进行攻击的方式,这个是最有效的 发现漏洞的方式,通过设备对攻击包的响应获取漏 洞信息 被动监听,通过网络数据的分析来实现漏洞的发 现
常用安全扫描工具
中国电信福建富士通信息软件有限公司
Fujian Fujitsu Communication Software Co., Ltd. (FFCS)
2012年5月
内容提要
1.常见扫描工具
2.安全漏扫
3.前次总结
常见扫描工具
扫描类型 扫描器
绿盟极光 网络漏洞扫描 nessus
启明天镜
X-scan 端口扫描 nmap IBM Rational AppScan WEB扫描 HP WebInspect 安恒明鉴 弱口令扫描 hydra X-scan
常见扫描工具 服务识别 根据telnet相关端口获取信息 执行telnet host port,根据返回信息判断 根据对get的返回进行判断 get的返回中存在相关的服务信息 服务指纹识别 通对服务 中数据包的分析得出相关的信息 弱口令扫描 外部探测,基于用户名和密码字典的探测 内部分析: 通过对密码文件和密码的结合进行分析
Nessus安装
1. 从/download/index.php?product=nessus32-win下 载最新的nessus软件。 2.注册,插件的升级 (需要直接连接外网才可升级), 用户的添加
Nessus扫描策略
扫描前必需根据扫描的设备范围制定扫描策略
常见扫描工具
端口扫描 常见端口扫描 TCP Connect扫描 与每个TCP端口进行三次握手通信, nmap SYN扫描 各类漏洞扫描器 发送初始的SYN数据包给目标主机 NULL扫描 将一个没有标志位的数据包发送给TCP端口 FIN扫描 (反向扫描) 一个FIN的数据包被发送给目标主机的每个端口 ACK扫描 ACK 扫描通常用来穿过防火墙的规则集 UDP扫描 发送UDP包到端口
内容提要
1.常见扫描工具
2.安全漏扫
3.前次总结
安全漏扫
漏洞扫描主要是对网络中设备存在的漏洞进行发现,从上面的扫描原理可以 看出漏洞扫描同时也一种比较危险的行为,他有可能造成: 设备资源利用偏高 设备应用服务不可用 设备自身不可用
网络阻塞
安全使用漏洞扫描 才能达到“取其利,避其害”的效果 介绍两款扫描器的使用安全 Nessus 绿盟极光
Nessus扫描策略
Save Knowledge Base Nessus扫描器可以把扫描信息保存到Nessus服务器知识库中, 以便将来使用。包括开放的端口,成功匹配的插件,发现的服务 等 使对远程主机造成破坏的插件失效。 如果这个选项被选上,报告中将不会包括依赖列表。若想在报告 中包括依赖列表,请不要选择。 保存扫描的更多的细节到服务器日志(.nessusd 信息)。包括:已使 用的插件,完成的插件,被终止的插件。结果日志可以被用来确 认特定的插件被使用,特定的主机被扫描。 如果选上,若主机没有反应Nessus将会停止扫描,在一个扫描过 程中,如果用户关掉 PCs,将会发生这种情况。在拒绝服务插件 或一个安全机制开始对服务器阻塞之后,主机停止反应 (例如: IDS) 。继续对这些主机扫描将会通过网络发送不必要的流量并延 迟扫描。 默认情况下,Nessus 按次序扫描 IP 地址列表。如果选上,Nessus 将会随机扫描主机列表。在一个大规模扫中,分配特定子网的网 络流量,将会非常有用。 如果一个端口没有被端口扫描器(例如:超出指定范围)发现,就认 为这个端口是关闭的。 输出的报告使用主机名而不是IP地址。
Nessus扫描策略
“Network”组给出了基于被扫描目标网络的更好的控制扫描的选项
选项 Reduce Parallel Connections on Congestion Use Kernel Congestion Detection (Linux only) 描述 当Nessus发送大量的数据包并使网络通道达到最大时,使 Nessus能够检测出来。如果检测,Nessus将会控制扫描来适应和 减小拥塞。一旦拥塞变小,Nessus将会自动的尝试使用网络通 道中可用的空间。 能够使Nessus监视CPU和其他内部运行的程序来拥塞控制, 相应规模变小。Nessus将会尝试使用更多的可用资源。这个特 征仅仅适用于部署在Linux上的Nessus扫描器
漏洞扫描实现方式 漏洞库和规则库的比对 插件的技术
常见扫描工具 设备存活扫描 ICMP 探测 (ping):ICMP包的探测 异常的IP包头 : 设备对异常的IP包有反馈错误信 息 错误的数据分片 : 设备在超时时间内收不到更正信 息,会返回超时信息 通过超长的包探测内部路由器 设备操作系统探测 主动协议栈指纹识别:TCP包的顺序,FIN识别, DF位识别,ACK序号识别 被动协议栈指纹识别: 通过对网络包的分析,主要 是TTL,窗口大小,DF,TOS
Safe Checks Silent Dependencies Log Scan Details to Server Stop Host Scan on Disconnect
Avoid Sequential Scans Consider Unscanned Ports as Closed DesignateHosts by their DNSName
常见扫描工具
为什么需要漏洞扫描
由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂, 导致新的系统漏洞层出不穷 由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在 许多人出于好奇或别有用心,不停的窥视网上资源
漏洞扫描做什么
扫描目标主机识别其工作状态(开/关机) 识别目标主机端口的状态(监听/关闭) 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息,分析系统脆弱点 生成扫描结果报告