安全扫描技术培训课件.pptVIP

全面的解决方案 前面已经指出，网络安全管理需要多种安全产品来实现，仅仅使用安全扫描系统是难以保证网络的安全的。选择安全扫描系统，要考虑产品制造商能否提供包括防火墙、网络监控系统等完整产品线的全面的解决方案。 * 人员培训 前面已经分析过，网络安全中人是薄弱的一环，许多安全因素是与网络用户密切相关的，提高本网络现有用户、特别是网络管理员的安全意识对提高网络安全性能具有非同寻常的意义。因此，在选择安全扫描产品时，要考虑制造商有无能力提供安全技术培训。 * 10.2.4安全扫描技术分析 * 扫描器工作过程 阶段1：发现目标主机或网络 阶段2：进一步发现目标系统类型及配置等信息 阶段3：测试哪些服务具有安全漏洞 * 扫描技术 端口扫描技术 全开扫描（open scanning） 半全开扫描（half-open scanning ） 秘密扫描(stealth scanning) 区段扫描(sweeps scanning) 系统类型检测技术 * 端口扫描技术 * 全开扫描（open scan, TCP connect） 3次TCP/IP握手过程建立标准TCP连接来检查主机的相应端口是否打开 * 优点：快速，精确，不需要特殊用户权限 缺点：不能进行地址欺骗并且非常容易被检测到 Client SYN Server SYN/ACK Client ACK Server端口打开 Client SYN Server RST/ACK Client RST Server端口没有打开 SYN 扫描 Client SYN Server SYN/ACK Client RST 端口开 * Client SYN Server RST/ACK 关闭端口 优点：快速，可绕开基本的IDS，避免了TCP3次握手 缺点：需要超级拥护权限，IDS系统可能阻止大量的SYN扫描，造成误报 SYN/ACK 扫描 设置单独的标志位（如ACK，FIN，RST等） NULL标志位（不设立任何标志位） ALL标志位（设立所有标志位） 绕开过滤规则，防火墙，路由器 表现为偶然的网络数据流 变化的数据包发散率 * SYN/ACK 扫描 优点：快速，可绕开基本的IDS，避免了3TCP3次握手 缺点：需要超级用户权限，不可靠 * Client可以猜测server端口是否打开 Client SYN /ACK Server RST 此通常说明server关闭，但是猜测打开不可靠 系统类型检测技术 利用系统旗标 利用DNS信息 利用TCP/IP堆栈指纹 * 安全扫描技术培训课件 * 10.1 安全威胁分析 10.1.1 入侵行为分析 怎样才算是受到了黑客的入侵和攻击呢？ 狭义的定义认为：攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络中。 广义的定义认为：使网络受到入侵和破坏的所有行为都应被称为“攻击”。本书采用广义的定义，即认为当入侵者试图在目标机上“工作”的那个时刻起，攻击就已经发生了。 下面我们从以下几个方面对入侵行为进行分析： （1）入侵目的 执行过程 获取文件和数据 获取超级用户权限 进行非授权操作 使用系统拒绝服务 篡改信息 披露信息 * （2）实施入侵的人员 伪装者：未经授权使用计算机者或者绕开系统访问机制获得合法用户账户权限者。 违法者：未经授权访问数据库、程序或资源的合法用户，或者是具有访问权限错误使用其权利的用户。 秘密用户：拥有账户管理权限者，利用这种机制来逃避审计和访问数据库，或者禁止收集审计数据的用户。 （3）入侵过程中的各个阶段和各个阶段的不同特点 窥探设施 顾名思义也就是对环境的了解，目的是要了解目标采用的是什么操作系统，哪些信息是公开的，有何价值等问题，这些问题的答案对入侵者以后将要发动的攻击起着至关重要的作用。 攻击系统 在窥探设施的工作完成后，入侵者将根据得到的信息对系统发动攻击。攻击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三个层次。 掩盖踪迹 入侵者会千方百计的避免自己被检测出来。 * 10.1.2 安全威胁分析 计算机面临的安全威胁有来自计算机系统外部的