ch8安全检测和响应.ppt

(1) 网络型安全漏洞扫描器 网络型扫描器主要是仿真黑客经由网络端发出封包，以主机接收到封包时的响应作为判断标准，进而了解主机的操作系统、服务及各种应用程序的漏洞。网络型扫描器可以放置于Internet端，也就是可以放在家里去扫描本单位主机的漏洞，这样等于是在仿真一个黑客从Internet去攻击本单位的主机。 网络型扫描器具有以下主要功能： 服务扫描检测。提供常用服务端口的扫描检测及常用端口以外端口的扫描检测。 后门程序扫描检测。提供PC Anywhere、NetBus、Back Orifice2000等远程控制程序(后门程序)的扫描检测。 密码破译扫描检测。提供密码破译的扫描功能，包括操作系统及程序密码破译扫描，如FTP、POP3、Telnet等。 应用程序扫描检测。提供已知的破译程序执行扫描检测，包括CGI-BIN、Web?Server漏洞、FTP Server等的扫描检测。 阻断服务扫描测试。提供拒绝服务 (DoS) 攻击的扫描测试。 系统安全扫描检测。如对Windows NT的Registry、NT Groups、NT Networking、NT User、NT Passwords、DCOM(Distributed Component Object Model)安全扫描检测。 分析报表。产生分析报表，并告诉管理者如何去修补漏洞。 (2) 主机型安全漏洞扫描器 主机型扫描器具有以下主要功能： 重要资料的锁定。利用安全的Checksum来监控重要资料或程序的完整性及真实性，如Index.html档。 密码检测。采用结合系统信息、字典和词汇组合的规则来检测易猜测的密码。 系统日志文件和文字文件分析。能够针对系统日志文件(如Unix的syslogs及Windows NT的事件检视event?log，及其它文字文件Text files)的内容进行分析。 加密。提供Console?和Agent?之间的TCP/IP连接认证、确认和加密等功能。 分析报表。产生分析报表，并告诉管理者如何去修补漏洞。 3. 端口扫描 常用的扫描器是TCP端口扫描器，它可以搜集到关于目标主机的有用信息(如匿名用户是否可以登录等)。而其它所谓的扫描器仅仅是Unix网络应用程序，但现在已有了用于任何操作系统的扫描器。 端口：许多TCP/IP程序可以通过Internet启动，这些程序大都是面向客户/服务器的。当主机接收到一个连接请求时，便启动一个服务，与请求客户服务的机器通信。为简化这一过程，每个应用程序被赋予一个唯一的地址，这个地址称为端口。 端口扫描工具：使用端口扫描工具也是一种获取主机信息方法。端口扫描程序是一个非常简便实用的工具，它可以帮助系统管理员更好地管理系统与外界的交互。 ICMP扫描：是最常见的扫描方式，常用于网络地址扫描。如“ping”,”tracert”等就是简单的ICMP扫描应用程序。它通过发送数据包，即可扫描对方主机是否在线，并可得到相应的网络往返时延。 此外还有UDP扫描、TCP connect () 扫描、TCP SYN扫描、TCP FIN扫描等。不管是哪种扫描，都要发送数据包到目标端口，探测端口的开放情况。 良好的扫描监测系统可通过对网络扫描数据包的监测，提前预报网络攻击。 当系统管理员扫描到某服务端口号时，便会想到该服务是否关闭，若原来是关闭的，而现在又被扫描到，则说明系统现在正受到侵犯。 4. 漏洞扫描 网络漏洞扫描就是对目标系统进行检测，判断其是否有漏洞存在，并采取相应措施。漏洞扫描通过远程检测目标主机TCP/IP不同端口的服务，记录目标的响应，收集目标主机的各种信息(如是否可用匿名登录、是否有可写的FTP目录、是否可用Telnet等)。 漏洞扫描器主要的功能是仿真黑客入侵的手法去测试系统上有没有安全上的漏洞，进而从扫描出来的安全漏洞报告里告诉使用者，系统上的安全漏洞有多少，如何去修补，到那里下载Patches(补丁程序)。 根据工作模式的不同，漏洞扫描器一般可分成网络型和主机型安全漏洞扫描器两大类。其中前者基于网络，通过请求/应答方式远程检测目标网络和主机系统的安全漏洞。例如，SATAN和NSS等；后者基于主机，通过在主机系统本地运行代理程序来检测系统漏洞，例如，操作系统漏洞扫描器和数据库系统漏洞扫描器。 获取目标主机TCP/IP端口和其他对应的网络访问服务相关信息后，再与网络漏洞扫描系统提供的漏洞库进行匹配，如果满足匹配条件，则说漏洞存在。 此外，通过模拟黑客的进攻手段，对目标主机进行攻击性的安全漏洞扫描(如测试弱势口令等，也是扫描技术的检测手段之一)，若模拟攻击成功，则视为漏洞存在。不管入侵者是从外部还是内部攻击网络系统，它都是通过分析研究操作系统和应用服务程序的缺陷来实现的。 5．Ping扫描