多层次渗透测试【精品ppt】.ppt

* 黑客用分布式拒绝服务攻击Yahoo！站点示意图　　　如图所示，攻击者先是在某地通过因特网撒网式地扫描有漏洞的主机，在确定好目标后，再通过这些漏洞获得其访问权限，根据访问权限的高低不同，再把这些主机分成Master(主控端，由于要尽可能多地控制Agent，它通常也是高带宽的)和Agent（代理端），通过在Master端安装管理（控制）软件，在Agent端安装被指定的目的地址，这样来建立一个庞大、遍及各地的攻击体系，这时只要远在某个角落的黑客启动控制程序，这些网状的“定时炸弹”就会在瞬间同时启动，爆炸，这时再大的网站也会被炸得支离破碎，而凶手可能早就逃之夭夭了。庞大、复杂的组织结构带来的极大的危害性，以及很强的隐蔽性是分布式拒绝服务的最毒之处。 * 系统中要实现的隐患发现功能可分解为两部分，一部分是对系统中的已经隐患的发现，通过执行描述已知漏洞特征的探测脚本，给出系统中是否包含某些已知漏洞的结论；另一部分功能是对系统中未知隐患的探测，此方面的探测又分为两种类型：一种是对本地程序进行运行过程监控，系统通过基于内核级驱动的虚拟运行技术对程序动态执行过程中的关键文件操作、注册表操作、网络操作进行监控，为用户分析程序中是否包含安全隐患提供支持与依据；另一种是对网络相关的应用及协议实现的隐患分析，其实现方法为利用对已有漏洞特征库的学习及边界突破法构造一个攻击信号生成的平台，并在攻击信号发出时并发地监控靶机上所发生的硬件使用级别、系统关键资源调用级别、网络操作级别、注册表操作级别、日志审计级别等几种不同级别的状态变迁，此部分的监控功能即是对目标系统受损痕迹提取的“取证”过程，通过攻击与取证结合的方式来探测系统中是否存在未知的安全隐患。另外，特别地针对缓冲区溢出类型的隐患，通过监控可疑的堆栈段，根据其状态变化对攻击方做出攻击信号生成的指导，通过两者之间动态联动以达到判断缓冲区溢出隐患是否存在的目标。 * 系统中要实现的隐患发现功能可分解为两部分，一部分是对系统中的已经隐患的发现，通过执行描述已知漏洞特征的探测脚本，给出系统中是否包含某些已知漏洞的结论；另一部分功能是对系统中未知隐患的探测，此方面的探测又分为两种类型：一种是对本地程序进行运行过程监控，系统通过基于内核级驱动的虚拟运行技术对程序动态执行过程中的关键文件操作、注册表操作、网络操作进行监控，为用户分析程序中是否包含安全隐患提供支持与依据；另一种是对网络相关的应用及协议实现的隐患分析，其实现方法为利用对已有漏洞特征库的学习及边界突破法构造一个攻击信号生成的平台，并在攻击信号发出时并发地监控靶机上所发生的硬件使用级别、系统关键资源调用级别、网络操作级别、注册表操作级别、日志审计级别等几种不同级别的状态变迁，此部分的监控功能即是对目标系统受损痕迹提取的“取证”过程，通过攻击与取证结合的方式来探测系统中是否存在未知的安全隐患。另外，特别地针对缓冲区溢出类型的隐患，通过监控可疑的堆栈段，根据其状态变化对攻击方做出攻击信号生成的指导，通过两者之间动态联动以达到判断缓冲区溢出隐患是否存在的目标。 * 系统中要实现的隐患发现功能可分解为两部分，一部分是对系统中的已经隐患的发现，通过执行描述已知漏洞特征的探测脚本，给出系统中是否包含某些已知漏洞的结论；另一部分功能是对系统中未知隐患的探测，此方面的探测又分为两种类型：一种是对本地程序进行运行过程监控，系统通过基于内核级驱动的虚拟运行技术对程序动态执行过程中的关键文件操作、注册表操作、网络操作进行监控，为用户分析程序中是否包含安全隐患提供支持与依据；另一种是对网络相关的应用及协议实现的隐患分析，其实现方法为利用对已有漏洞特征库的学习及边界突破法构造一个攻击信号生成的平台，并在攻击信号发出时并发地监控靶机上所发生的硬件使用级别、系统关键资源调用级别、网络操作级别、注册表操作级别、日志审计级别等几种不同级别的状态变迁，此部分的监控功能即是对目标系统受损痕迹提取的“取证”过程，通过攻击与取证结合的方式来探测系统中是否存在未知的安全隐患。另外，特别地针对缓冲区溢出类型的隐患，通过监控可疑的堆栈段，根据其状态变化对攻击方做出攻击信号生成的指导，通过两者之间动态联动以达到判断缓冲区溢出隐患是否存在的目标。 * 系统中要实现的隐患发现功能可分解为两部分，一部分是对系统中的已经隐患的发现，通过执行描述已知漏洞特征的探测脚本，给出系统中是否包含某些已知漏洞的结论；另一部分功能是对系统中未知隐患的探测，此方面的探测又分为两种类型：一种是对本地程序进行运行过程监控，系统通过基于内核级驱动的虚拟运行技术对程序动态执行过程中的关键文件操作、注册表操作、网络操作进行监控，为用户分析程序中是否包含安全隐患提供支持与依据；另一种是对网络相关的应用及协议实现的隐患分析，其实现方