常用安全扫描工具.ppt

前次总结 一共发现高危漏洞244个，中危险905个 这些漏洞中补丁或版本过低或者配置疏忽 修补建议 定期对设备上运行的提供对外服务的服务进行补丁加固 关闭不常见的端口和服务，比如sendmail 定期对设备的安全基线进行核查 前次总结 问题描述： 扫描过程中泉州局方反映办公网段部分服务出现异常，扫描结束时发现办公网段部分服务异常，七台服务器主机出现问题： 四台为HP-UNIX系统，重启部分进程后仍然无法提供正常服务，重启主机后恢复。 三台为WINDOWS 2003系统，重启后恢复。 现场判断疑似Nessus扫描机制问题，导致主机出现遭受DDOS攻击的现象，造成连接故障。 泉州巡检宕机事件分析 结论： 本次扫描，unix或者hp unix主机上有较多的服务，且多为私有程序的服务，如综合告警系统，可能程序上面存在一些bug，导致出现类似的现象。windows系统可以通过防火墙的开启来屏蔽这一威胁，但是unix主机一般不会开启防火墙，如何避免同样问题的发生，还需要后续研究解决。但是针对于本次的情况，需要对nessus扫描的参数进行修改，以防止类似现象发生，无法保证网段中所有服务器防火墙都开启，而如果面对unix类型服务器需要如何调整策略进行扫描都需要进行研究和测试。 * * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * * * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * * * * * * * * * 策略违规 配置错误 拒绝服务攻击 信息 运行状况 渗透 可疑活动 攻击保护 传播 探测 * * * * * * * * * * All Rights Reserved, Copyright ?FFCS 2011 中国电信福建富士通信息软件有限公司（FFCS） Fujian Fujitsu Communication Software Co., Ltd. 常用安全扫描工具 中国电信福建富士通信息软件有限公司 Fujian Fujitsu Communication Software Co., Ltd. (FFCS) 2012年5月 内容提要 1.常见扫描工具 2.安全漏扫 3.前次总结 常见扫描工具 扫描类型 扫描器 网络漏洞扫描 绿盟极光 nessus 启明天镜 X-scan 端口扫描 nmap WEB扫描 IBM Rational AppScan HP WebInspect 安恒明鉴 弱口令扫描 hydra X-scan 常见扫描工具 由于网络技术的飞速发展，网络规模迅猛增长和计算机系统日益复杂，导致新的系统漏洞层出不穷 由于系统管理员的疏忽或缺乏经验，导致旧有的漏洞依然存在 许多人出于好奇或别有用心，不停的窥视网上资源 为什么需要漏洞扫描 扫描目标主机识别其工作状态（开/关机） 识别目标主机端口的状态（监听/关闭） 识别目标主机系统及服务程序的类型和版本 根据已知漏洞信息，分析系统脆弱点 生成扫描结果报告 漏洞扫描做什么 常见扫描工具 漏洞扫描 漏洞扫描原理 通过对端口的扫描以及服务的探测，得到设备上安装的服务，并且通过发送请求的方式获取服务的版本信息，凭版本号就可获取很多漏洞信息 尝试对系统进行攻击的方式，这个是最有效的发现漏洞的方式，通过设备对攻击包的响应获取漏洞信息 被动监听,通过网络数据的分析来实现漏洞的发现 漏洞扫描实现方式 漏洞库和规则库的比对 插件的技术 常见扫描工具 设备存活扫描 ICMP 探测 （ping）:ICMP包的探测 异常的IP包头 ： 设备对异常的IP包有反馈错误信息 错误的数据分片 : 设备在超时时间内收不到更正信息，会返回超时信息 通过超长的包探测内部路由器 设备操作系统探测 主动协议栈指纹识别：TCP包的顺序，FIN识别，DF位识别，ACK序号识别 被动协议栈指纹识别： 通过对网络包的分析，主要是TTL，窗口大小，DF，TOS 常见扫描工具 端口扫描 TCP Connect扫描 与每个TCP端口进行三次握手通信， SYN扫描 发送初始的SYN数据包给目标主机 NULL扫描 将一个没有标志位的数据包发送给TCP端口 FIN