漏洞扫描1漏洞扫描工具X-scan2网络监听技术.PPTVIP

第3章 网络攻击与防范——漏洞扫描、网络监听技术 教学目的： （1）掌握漏洞扫描的原理及类型 （2）掌握常见的漏洞扫描工具使用 （3）掌握网络监听技术的原理及类型 （4）掌握常见的网络监听工具使用 教学重点： （1）掌握漏洞扫描的原理及类型 （2）掌握常见的漏洞扫描工具使用 （3）掌握网络监听技术的原理及类型 （4）掌握常见的网络监听工具使用 复习 硬盘存储介质的保护 复习 网络攻击一般过程 1）隐藏IP 2）收集信息 3）控制或破坏目标系统 4）种植后门 5）在网络中隐身 复习 端口扫描方式 1）全TCP连接 2）半打开方式扫描 3）FIN扫描 教学过程 一、漏洞扫描 漏洞扫描定义：是指基于漏洞数据库，通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测行为。 漏洞扫描是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。 漏洞扫描从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。 1、基于网络的漏洞扫描 基于网络的漏洞扫描器就是通过网络远程监测目标主机TCP/IP不同端口的服务，来扫描远程计算机中的漏洞，记录目标给予的应答，来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在。 比如，利用低版本的DNS Bind漏洞，攻击者能够获取root权限，侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具，能够监测到这些低版本的DNS Bind是否在运行。 一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标主机，以判断某个特定的漏洞是否存在。 基于网络的漏洞扫描器，一般有以下几个方面组成： ① 漏洞数据库模块：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。 ② 用户配置控制台模块：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统，以及扫描哪些漏洞。 ③ 扫描引擎模块：扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包，与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。 ④ 当前活动的扫描知识库模块：通过查看内存中的配置信息，该模块监控当前活动的扫描，将要扫描的漏洞的相关信息提供给扫描引擎，同时还接收扫描引擎返回的扫描结果。 ⑤ 结果存储器和报告生成工具：报告生成工具，利用当前活动扫描知识库中存储的扫描结果，生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项，根据这些设置，扫描结束后，在哪些目标系统上发现了哪些漏洞。 2、基于主机的漏洞扫描 主机漏洞扫描器则通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集他们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。 基于主机的漏洞扫描器，扫描目标系统的漏洞的原理与基于网络的漏洞扫描器的原理类似，但是，两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。 举例：ESM是个基于主机的Client/Server三层体系结构的漏洞扫描工具。这三层分别为：ESM控制台、ESM管理器和ESM代理。 ESM控制台安装在一台计算机中； ESM管理器安装在企业网络中； 所有的目标系统都需要安装ESM代理。ESM代理安装完后，需要向ESM管理器注册。 当ESM代理收到ESM管理器发来的扫描指令时，ESM代理单独完成本目标系统的漏洞扫描任务；扫描结束后，ESM代理将结果传给ESM管理器；最终用户可以通过ESM控制台浏览扫描报告。 3、基于网络的漏洞扫描与基于主机的漏洞扫描比较 基于网络的漏洞扫描不足： 第一、基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供Windows 2000操作系统的密码，这种情况下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。 第二、基于网络的漏洞扫描器不能穿过防火墙。 第三、扫描服务器与目标主机之间通讯过程中的加密机制。控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话，攻