漏洞与网络监听初步实现.pptVIP

入侵检测 漏洞扫描与网络监听 1、X-Scan工具的使用 2、Nmap的使用与扫描方式的掌握 3、实现网络监听 1、X-Scan简介 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。 扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息等。 X-Scan把扫描报告和安全焦点网站相连接，对扫描到的每个漏洞进行“风险等级”评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞. 1、X-Scan工具的使用 1.1、扫描参数配置 检测范围 　　“指定IP范围” - 可以输入独立IP地址或域名，也可输入以“-”和“,”分隔的IP范围，如“-20,0-54”，或类似“/24”的掩码格式。 　　“从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址，文件格式应为纯文本，每一行可包含独立IP或域名，也可包含以“-”和“,”分隔的IP范围。 1、X-Scan工具的使用 全局设置 　　“扫描模块”项 - 选择本次扫描需要加载的插件。 　　“并发扫描”项 - 设置并发扫描的主机和并发线程数，也可以单独为每个主机的各个插件设置最大线程数。 　　“网络设置”项 - 设置适合的网络适配器，若找不到网络适配器，请重新安装WinPCap 3.1 beta4以上版本驱动。 　　“扫描报告”项 - 扫描结束后生成的报告文件名，保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。 1、X-Scan工具的使用 其他设置 　　“跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文，X-Scan将跳过对该主机的检测。 　　“无条件扫描” - 如标题所述 　　“跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口，将跳过对该主机的后续检测。 　　“使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型，若NMAP频繁出错，可关闭该选项。 　　“显示详细信息” - 主要用于调试，平时不推荐使用该选项。 　　 1、X-Scan工具的使用 “插件设置”模块： 该模块包含针对各个插件的单独设置，如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。 如图所示 1、X-Scan工具的使用 1.2、开始扫描 1、X-Scan工具的使用 1.3、输出结果 2、 Nmap简介 Nmap是一个端口扫描工具，可以扫描一台主机，也可以扫描一个网段。 运行结果为扫描的主机(主机组)的端口列表，通常给出端口号，服务名，状态等几项。 其基本功能有三个，一是探测一组主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。 2、Nmap的使用与扫描方式的掌握 2.1、TCP Connect扫描 2、Nmap的使用与扫描方式的掌握 2.2、TCP SYN扫描 这种扫描方法没有建立完整的TCP连接，有时也被称为“半打开扫描（half-open scanning）”。其步骤是先往端口发送一个SYN分组。如果收到一个来自目标端口的SYN/ACK分组，那么可以推断该端口处于监听状态。如果收到一个RST/ACK分组，那么它通常说明该端口不在监听。执行端口的系统随后发送一个RST/ACK分组，这样并未建立一个完整的连接。这种技巧的优势比完整的TCP连接隐蔽，目标系统的日志中一般不记录未完成的TCP连接。 2、Nmap的使用与扫描方式的掌握 2.3、TCP FIN扫描 这种扫描方法是直接往目标主机的端口上发送FIN分组。按照RFC793，当一个FIN分组到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST分组。否则，当一个FIN分组到达一个打开的端口，分组只是简单地被丢掉（不返回RST分组）。 2、Nmap的使用与扫描方式的掌握 2.4、TCP Xmas扫描 无论TCP全连接扫描还是TCP SYN扫描，由于涉及TCP三次握手很容易被远程主机记录下来。Xmas扫描由于不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而比SYN扫描隐蔽得多。这种扫描向目标端口发送一个FIN、URG和PUSH分组。按照RFC793，目标系统应该给所有关闭着的端口发回一个RST分组。 2、Nmap的使用与扫描方式的掌握 2.5、TCP 空扫描 这种扫描发送一个关闭掉所有标志位的分组，按照RFC 7