入侵检测——漏洞扫描攻击.pdfVIP

漏洞扫描攻击 目录 漏洞扫描攻击 1 一、 漏洞扫描的基本原理 1 漏洞扫描的基本原理 1 二、 漏洞扫描工具的使用（XSCAN ） 2 1) 参数设置 2 2) 开始扫描 9 3) 扫描结果 9 三、 漏洞扫描工具的编写 12 1. 工具简述 12 2. 工具展示 13 [1] 3. 具体实现及代码 13 四、 如何防范漏洞扫描攻击 13 1. 概述 13 2. 漏洞补救的形式主要有两种 14 i. 自身补救 14 ii. 借助补救 14 3. 一个完整的企业网络漏洞解决方案应该具备以下要素 15 1) 企业健全的漏洞管理机制 15 2) 减少权限，降低人为因素带来的风险 16 3) 全面提升系统安全漏洞安全审计和管理工作 17 4) 满足合规性需求 17 五、 附录 17 一、 漏洞扫描的基本原理 漏洞扫描的基本原理 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安 全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。 漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合，能够 有效提高网络的安全性。通过对网络的扫描，网络管理员能了解网络的安全设置和运行的应 用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员能根据扫描的结果更正网 络安全漏洞和系统中的错误设置，在黑客攻击前进行防范。如果说防火墙和网络监视系统是 被动的防御手段，那么安全扫描就是一种主动的防范措施，能有效避免黑客攻击行为，做到 防患于未然。 漏洞扫描可以划分为ping 扫描、端口扫描、OS 探测、脆弱点探测、防火墙扫描五种主 要技术，每种技术实现的目标和运用的原理各不相同。按照 TCP/IP 协议簇的结构，ping 扫 描工作在互联网络层：端口扫描、防火墙探测工作在传输层;0S 探测、脆弱点探测工作在互 联网络层、传输层、应用层。 ping 扫描确定目标主机的IP 地址，端口扫描探测目标主机所 开放的端口，然后基于端口扫描的结果，进行OS 探测和脆弱点扫描。 网络漏洞扫描器的扫描工作原理是，首先探测目标系统的活动主机，对活动主机进行端 口扫描，确定系统开放的端口，同时根据协议指纹技术识别出主机的操作系统类型。然后扫 描器对开放的端口进行网络服务类型的识别，确定其提供的网络服务。漏洞扫描器根据目标 系统的的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检 测，通过对探测响应数据包的分析判断是否存在已知安全漏洞。目标可以是工作站、服务器、 交换机、数据库应用等各种对象。扫描结果可以给用户提供周密可靠的安全性分析报告，是 提高网络安全整体水平的重要依据。 扫描器并不是一个直接的攻击网络漏洞的程序，它仅仅能帮助用户发现目标机存在的某 些弱点。一个好的扫描器能对它得到的数据进行分析，帮助用户查找目标主机的漏洞。但它 不会提供进入一个系统的详细步骤。例如，下面是一个简单的漏洞扫描的源代码，该扫描程 序可以完成以下4 项工作： ●连接目标主机Server ； ●向目标主机发送GET 请求； ●接收目标返回数据； ●根据返回数据判断文件是否存在。 写漏洞扫描器探查远程服务器上可能存在的具有安全隐患的文件是否存在时，通常用 socket 建立过程，使用80 端口，对这个端口发送一个GET 文件的请求服务器接收到请求会 返回文件内容，如果文件不存在则返回一个错误提示，通过接收返回内容可以判断文件是否 存在。发送和接收数据需要使用函数 send() 和 recv() ，其中对流中存在的字符串进行判断 需要使用函数 strstr() 。 二、 漏洞扫描工具的使用 （XSCAN ） 1) 参数设置 点击 “设置”菜单，选择 “扫描参数”或者直接点击工具栏的蓝色按钮进入扫描参数设置 1、 检测范围。设置待扫描的 IP ，可以按示例方式设置检测范围，或者从文件获取主机列 表。 2 、 全局设