网络安全技术及应用 教学课件 作者 刘京菊 ch9 网络安全检测与分析.pptVIP

第9章 网络安全检测与分析;9.1 网络安全检测概述; 网络安全检测是保证网络系统安全性的重要手段，通过网络安全检测可以发现计算机系统开放了哪些端口、提供了哪些服务、存在哪些安全漏洞，检查计算机系统自动加载的程序或组件、正在运行的程序或组件、补丁程序安装情况、防火墙设置情况、反病毒软件设置情况、账户设置情况、网络设置情况、网络使用情况等。; 根据检测点位于被检测目标的内部或是外部，可以将网络安全检测分为外部检测和内部检测。 外部检测通常称为网络安全漏洞检测，主要形式包括： 网络端口扫描； 网络服务类型扫描； 操作系统类型扫描； 网络漏洞扫描； 弱口令扫描等。 ; 内部检测的主要形式包括：系统配置检测、系统状态检测。 系统配置检测主要从被检测目标内部对其安全配置情况进行检测，主要包括： 自动加载项检查； 服务设置情况检查； 补丁程序安装情况检查； 防火墙设置情况检查； 防病毒软件设置情况检查； 网络设置情况检查； 账户设置情况检查等。 ; 系统状态检测主要从被检测目标内部对其运行状态进行检测，检查其运行状态是否存在异常情况，主要包括： 正在运行的程序或组件检查； 账户使用情况检查 防火墙状态检查； 防病毒软件状态检查； 网络使用情况检查等。;9.2 网络安全漏洞检测技术; 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。 漏洞的产生有其必然性，这是因为软件的正确性通常是通过检测来保障的。“检测只能发现错误，证明错误的存在，不能证明错误的不存在”; 网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。 通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务； 通过操作系统探测可以掌握操作系统的类型信息； 通过安全漏洞探测可以发现系统中可能存在的安全漏洞。;1．端口扫描技术 端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包，并记录目标主机的响应。通过分析响应来判断端口是打开还是关闭等状态信息。 端口扫描技术分为TCP端口扫描技术和UDP端口扫描技术。;TCP端口扫描技术 TCP端口扫描技术主要包括：TCP connect扫描、TCP SYN扫描、TCP FIN扫描、TCP Xmas和TCP Null扫描4种。 UDP端口扫描技术 UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。其实现思想是发送UDP信息包到目标机器的各个端口，若收到一个ICMP端口不可达的回应，则表示该UDP端口是关闭的，否则该端口就是开放的。;2．操作系统探测技术 操作系统探测技术主要包括：获取标识信息探测技术和基于TCP/IP协议栈的操作系统指纹探测技术。 获取标识信息探测技术 获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。;基于TCP/IP协议栈的指纹探测技术 指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。操作系统指纹探测步骤为： 形成一个操作系统指纹特征库； 向目标发送多种特意构造的信息包，检测其响应特征信息； 把返回的特征信息与指纹特征库进行匹配，判断目标的操作系统类型及其版本号。;3．安全漏洞探测技术 安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。按照网络安全漏洞的可利用方式来划分，漏洞探测技术可以分为：信息型漏洞探测和攻击型漏洞探测两种。;信息型漏洞探测 大部分的网络安全漏洞都与特定的目标状态如：目标运行的操作系统版本及补丁安装情况、运行服务及其服务程序版本等因素直接相关，只要对目标的此类信息进行准确探测就可以在很大程度上确定目标存在的安全漏洞。 该技术实现方便、对目标不产生破坏性影响、对于具体某个漏洞存在与否，难以做出确定性的结论。;攻击型漏洞探测 模拟攻击是最直接的漏洞探测技术，其探测结果的准确率也是最高的。该探测技术的主要思想是模拟网络入侵的一般过程，对目标系统进行无恶意攻击尝试，若攻击成功则表明相应安全漏洞必然存在。 模拟攻击技术的局限性包括： 存在一些漏洞无法探测到 不可能做到完全没有破坏性; 网络安全漏洞检测工具的作用是从目标系统外部对其洞进行扫描分析，找出目标系统存在的安全漏洞，从而可以在遭受攻击之前修补漏洞。常用的网络安全漏洞检测工具有Nessus、Shadow Security Scanner、X-Scan、Nmap等