ftp漏洞掃描原理
A. 掃描到ftp漏洞怎麼入侵
雖然通過剛才的步驟得到了存在FTP弱口令的主機,但並不表明它們都可以被入侵.因為他們的FTP伺服器類型還沒確定.可能是微軟的TP.或者是WUFTP等等.
而入侵時所利用的漏洞是serv-u FTP的, 所以還必須對這些存在FTP弱口令的主機進行一下類型確認;
步驟1 將剛才掃描生成的ftpscan.txt進行過濾.全部留下IP.以每個IP一行的規則保存.
步驟2 打開superscan掃描器.勾選"顯示主機響應",IP設置里選擇"導入文件",然後選擇保存好的ftpscan.txt,最後將掃描埠定義在21上.完成之後就要吧開始掃描了
步驟3:很快掃描完畢.詳細顯示了被掃描主機的FTP伺服器類型.可以看出有台目標主機的FTP伺服器類型為:serv-u FTP
二. 入侵指定目標.
通過剛才的掃描等一系列步驟.我已經確定了要下手的目標.
下面,開始使用serv-u MDTM溢出漏洞進行入侵.
步驟1:在命令行下運行serv-u MDTM溢出的利用程序killftp.察看到幫助文件
步驟2:按照提示.我們輸入命令:killftp 218.109.2.222 21 ftp ftp. 即對一台IP為218.109.2.222,帳號為FTP.密碼為FTP的主機進行攻擊,
可以看出,提示成功之後連接8111埠
步驟3:按照成功提示.我們利用NC埠程序連接目標主機的8111埠,輸入連接命令: nc -vv 218.109.2.222 8111 很快就可以得到一個新的
DOS窗口.而且這個窗口還是管理員許可權的.就這么簡單
B. 網路管理員考試
2007年上半年網路管理員考試大綱
一、考試說明
1、 考試要求
(1)熟悉計算機系統基礎知識;
(2)熟悉數據通信的基本知識;
(3)熟悉計算機網路的體系結構,了解TCPIP協議的基本知識;
(4)熟悉常用計算機網路互連設備和通信傳輸介質的性能、特點;
(5)熟悉Internet的基本知識和應用;
(6)掌握區域網體系結構和區域網技術基礎;
(7)掌握乙太網的性能、特點、組網方法及簡單管理;
(8)掌握主流操作系統的安裝、設置和管理方法;
(9)熟悉DNS、WWW、MAIL、FTP和代理伺服器的配置和管理;
(10)掌握Web網站的建立、管理與維護方法,熟悉網頁製作技術;
(11)熟悉綜合布線基礎技術;
(12)熟悉計算機網路安全的相關問題和防範技術;
(13)了解計算機網路有關的法律、法規,以及信息化的基礎知識;
(14)了解計算機網路的新技術、新發展;
(15)正確閱讀和理解本領域的簡單英文資料。
2、 本考試的合格人員能夠進行小型網路系統的設計、構建、安裝和調試,中小型區域網的運行維護和日常管理;根據應用部門的需求,構建和維護Web網站,進行網頁製作;具有助理工程師(或技術員)的實際工作能力和業務水平。
3、 本考試設置的科目包括
(1) 計算機與網路基礎知識,考試時間為150分鍾,筆試;
(2) 網路系統的管理與維護,考試時間為150分鍾,筆試。
二、考試范圍
考試科目1:計算機與網路基礎知識
1.計算機科學基礎
1.1 數制及其轉換
二進制、十進制和十六進制等常用數制及其相互轉換
1.2 數據的表示
數的表示(原碼、反碼、補碼表示,整數和實數的機內表示)
非數值表示(字元和漢字表示、聲音表示、圖像表示)
校驗方法和校驗碼(奇偶校驗)
1.3 算術運算
計算機中的二進制數運算方法
2. 計算機系統基礎知識
2.1 硬體基礎知識
計算機系統的結構和工作原理
CPU的結構、特徵、分類及發展
存儲器的結構、特徵分類及發展
IO介面、IO設備和通信設備
2.2 軟體基礎知識
操作系統的類型、配置
操作系統的功能
資料庫系統基礎知識
應用軟體的安裝與配置
網路管理軟體的功能
3. 計算機網路基礎知識
3.1 數據通信基礎知識
數據信號、信道的基本概念
數據通信模型的構成
數據傳輸基礎知識
數據編碼的分類和基本原理
多路復用技術的分類、基本原理和應用領域
數據交換技術的分類、基本原理和性能特點
3.2 計算機網路基礎知識
計算機網路的概念、分類和構成
協議的概念,開放系統互連參考模型的結構及各層的功能
TCPIP協議的概念及IP數據報的格式、IP地址、子網掩碼和域名
3.3 區域網技術基礎
IEEE802參考模型
區域網拓撲結構
區域網媒體訪問控制技術CSMACD
乙太網的發展歷程
乙太網的分類及各種乙太網的性能特點
乙太網技術基礎、IEEE802.3幀結構、乙太網跨距
交換型乙太網、全雙工乙太網的基本原理和特點
4. 計算機網路應用基礎知識
4.1 網際網路應用基礎知識
網際網路的概念、起源和提供的基本服務,以及我國的網際網路現狀
通過PSTN、ISDN、ADSL和區域網拉入網際網路的基本原理和特性
WWW、主頁、超級鏈接、HTML的概念及應用
電子郵件、FTP、Telnet、BBS、ICQ、網路新聞組、網路傳真、網路視頻會議、電子商務和電子政務的概念及應用
4.2 網路操作系統基礎知識
網路操作系統的概念、結構和特點
Windows操作系統的安裝、配置和基本應用
Linux操作系統的安裝、配置和基本應用、KDE環境和Linux操作命令
4.3 應用伺服器基礎知識
DNS服務的基本原理
WWW服務的基本原理
FTP服務的基本原理
電子郵件服務的基本原理
5. 網路管理基礎知識
5.1 網路管理基本概念
網路管理的概念、功能、網路管理標准和網路管理模型
簡單網路管理協議SNMP概述、管理信息庫、SNMP操作
5.2 網路管理系統基礎知識
網路管理系統概念
Sniffer的功能和特點
6. 網路安全基礎知識
可信計算機系統評估准則
網路安全漏洞
網路安全控制技術
防火牆基本原理
入侵檢測系統的功能和基本原理
漏洞掃描系統的功能和基本原理
網路防病毒系統的功能和基本原理
CA中心建設的概念和基本原理
容災系統
應急處理常用方法和技術
7. 標准化基礎知識
標准化機構
常用的國內外IT標准
8. 信息化基本知識
信息化概念
有關的法律、法規
9. 與網路系統有關的新技術、新方法的概念
無線個人網、無線區域網、無線城域網和無線廣域網的標准
無線區域網的拓撲結構、媒體訪問控制方式和擴頻技術,IEEE802.11
新一代網路管理系統
新一代網路技術(Ipv6,3G)
網路
10.專業英語
掌握計算機技術的基本英文詞彙
能正確閱讀和理解本領域的簡單英文資料
考試科目2:網路系統的管理與維護
1. 小型計算機區域網的構建
組網設計
組網技術選擇
組網設備選擇及部署
設備配置和管理
劃分VLAN
2. 綜合布線
綜合布線概念、組成、設計及依據的標准
綜合布線基礎環境准備
線纜及相關硬體的選擇與安裝
綜合布線系統的性能指標及測試流程
3. 小型計算機區域網伺服器配置
IP地址、子網掩碼的規劃配置
DNS伺服器的規劃、設置和維護(Linux環境和Windows環境)
電子郵件伺服器的規劃、設置和維護(Linux環境和Windows環境)
FTP伺服器的規劃、設置和維護(Linux環境和Windows環境)
代理伺服器的規劃、設置和維護(Linux環境和Windows環境)
DHCP伺服器的安裝與設置
4. Web網站的建立、管理維護以及網頁製作
Web網路的規劃、建設、管理與維護
使用HTML和相關軟體進行網頁設計與製作(如選用Photoshop、Flash、Fireworks或Dreamweaver等)
JSP、ASP、XML等動態網頁編程技術的基本概念
5. 網路系統的運行、維護和管理
使用網路管理軟體對網路的配置、安全、性能、故障、計費進行監督和管理
簡單網路故障的分析、定位、診斷和排除
小型網路的維護策略、計劃和實施
數據備份和數據恢復
系統性能分析,系統潛在問題分析
6. 防火牆技術
網路病毒防護策略
防火牆的配置策略
入侵處理策略
漏洞處理策略
C. 計算機病毒的防護技術
隨著計算機和互聯網的發展,網路數據和網路信息急劇增多,計算機病毒也出現,滲透到了各個領域,對重要數據造成了嚴重的破壞,對計算機系統構成了嚴重的威脅,因此,了解一些常見病毒及其防範技術有著重要的意義。筆者簡單闡述了計算機病毒的類型、特點、危害性以及防範技術。
關鍵詞:計算機病毒;信息安全;防範技術
1計算機病毒
1.1計算機病毒的特徵
隱蔽性。計算機病毒通常潛藏在正常程序中或磁碟引導扇區中,也有可能隱藏在磁碟空閑概率較大的扇區中[2],很難被用戶發現。病毒進入用戶計算機後,計算機系統通常能夠正常運行,用戶感覺不到任何異常。潛伏性。計算機病毒具有依附其他媒體而寄生的能力,依靠這種依附能力,病毒感染了系統後,往往不會馬上發作,而是潛伏起來,它會長期隱藏在系統中,當滿足特定的條件時它才會啟動破壞的功能,有些病毒的隱藏性極好,只有發作時才會被人們感知到。破壞性。計算機被病毒感染後會無法正常工作,用戶保存的數據可能會被刪除,一些重要的文件會被破壞,大量的內存可能會被佔用,有的計算機硬體甚至會被病毒毀壞。有的病毒的破壞性小,比如,只是在計算機屏幕上出現一段文字,或播放一段聲音;有的計算機病毒破壞性極強,它會刪除計算機的服務文件或者格式化磁碟的重要信息,對計算機造成嚴重破壞。感染性。計算機病毒可以從一個程序傳染到另一個程序,也可以從一台計算機傳染到另一台計算機,正是因為病毒的感染性,一旦感染上病毒,很有可能會破壞計算機的重要文件或服務程序,使其無法正常工作[1]。
1.2計算機病毒的種類
按照計算機的連接方式分類,計算機病毒可以分為源碼型病毒、嵌入型病毒、外殼型病毒、操作性病毒和定時炸彈型病毒[3]。源碼型病毒可以攻擊高級語言編寫的程序,病毒在源程序編譯之前插入病毒代碼,最後與源程序一起被編譯成可執行文件,因此,剛生成的文件里就有病毒文件[4];嵌入型病毒是將自身嵌入現有程序中,把其攻擊的對象與病毒的主體程序以插入的方式進行連接;外殼型病毒會將自己嵌入主程序的四周,在實施攻擊時,並不改變其攻擊目標,而是依附於宿主程序的頭部或尾部;操作系統型病毒主要針對磁碟的引導扇區和文件表分別進行攻擊,在計算機運行時,它會竊取到CPU的控制權,用自己的邏輯代碼替換操作系統的合法程序模塊,在條件允許的情況下進行傳播;定時炸彈型病毒可以避開DOS的中斷調用,通過底層硬體訪問對CMOS進行讀寫。
1.3計算機病毒發作時的表現
第一,顯示屏異常,屏幕顯示突然消失,或者時而顯示、時而消失,屏幕上出現異常信息或者異常的圖案;第二,聲音異常,遭受計算機病毒感染後,計算機在運行時,可能會突然出現一些奇怪的聲音、音符或者文字;第三,計算機突然死機或重啟,當病毒破壞了系統中的重要文件,會造成系統的服務進程無法正常進行,從而導致系統死機或重啟;第四,滑鼠和鍵盤失控,有的計算機病毒在運行時,會篡改鍵盤輸入,使用戶在鍵盤上鍵入的字元和屏幕上顯示的字元不一致,或者是鍵盤上的功能鍵對應的功能發生錯亂。
1.4計算機病毒的發展趨勢
網路化,一些新型計算機病毒可以躲避反計算機病毒軟體的追擊,有些甚至可以潛伏在HTML頁面中,當用戶上網瀏覽時觸發;隱蔽化,新型計算機病毒更善於隱藏和偽裝自己,它的主題會不斷在傳播中變化,有的病毒會偽裝成正常的用戶程序,使用戶防不勝防;多樣化,新的計算機病毒多種多樣,並且極具活力,它可以是HTML網頁、電子郵件、執行程序和腳本文件等,並且正在向ICQ、卡通圖片、網上賀卡等方向發展。
2計算機病毒的防範技術
2.1漏洞掃描技術
不論是操作系統還是應用軟體,都不可避免地存在漏洞,這些漏洞帶來了安全隱患,因此,及時處理新被發現的漏洞,進行系統升級和打補丁是非常重要的。漏洞掃描技術能夠從系統內部檢測系統配置的缺陷和不足,能夠檢測到系統中被黑客利用的各種錯誤配置和一些系統的漏洞,是一種自動檢測本地或者遠程主機安全性弱點的程序。漏洞掃描技術大致包括POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等技術。
2.2實時反病毒技術
由於新型計算機病毒層出不窮,殺毒軟體不能全面應付計算機病毒的入侵,於是便有了反病毒技術的概念。很多防病毒卡插在系統主板上,實時監控系統的運行,對疑似計算機病毒的行為及時發出警告。反病毒技術的實時監測是先前性的,任何程序在調用之前都被先過濾一遍,一旦有計算機病毒入侵就會報警,並且自動殺毒。
2.3計算機病毒免疫技術
病毒免疫是指系統曾感染過病毒,但是病毒已被處理或者清除,系統將不會再受到同類病毒的感染和攻擊。目前常用的免疫方法有針對某一種計算機病毒進行的計算機病毒免疫,但是這種方法不能阻止計算機病毒的破壞行為,還有一種是基於自我完整性檢查的計算機病毒免疫方法,它的原理是為可執行程序增加一個可以記錄用於恢復自身信息的免疫外殼。
2.4計算機病毒防禦技術
病毒防禦主要研究如何防禦未知和未來病毒,理論上是不能預知未來病毒的機理的。因此,只能立於系統自身的安全性和系統自保護,簡單的預防方法有如下幾種。(1)養成良好的計算機使用習慣,不隨意訪問一些非法的或者不安全的網站,這些網站往往都潛伏著病毒,當瀏覽網頁時,可能會導致計算機中病毒。(2)減少傳染。病毒的傳染途徑包括網路、軟盤和光碟。不要輕易打卡一些來歷不明的郵件,不要運行從互聯網上下載的未經查殺處理的軟體等,不要在線啟動某些軟體,對於軟盤和光碟傳染的病毒,不要隨意打開程序或安裝軟體。(3)經常升級操作系統的安全補丁。很多網路病毒都是通過系統安全漏洞或系統結構缺陷進行傳播的,如SCO炸彈、沖擊波等。(4)使用復雜的密碼。許多網路病毒都是通過猜測簡單密碼的方式攻擊和入侵系統,使用更加復雜煩瑣的密碼會降低被病毒攻擊的概率。(5)迅速隔離受到感染的計算機。計算機異常或被病毒感染時,應立即切斷連接,立刻斷網,以防止計算機受到更多的感染,或者成為傳播源。
3網路安全的防範技巧
第一,要定期清除緩存、歷史記錄及臨時文件夾中的內容,這些記錄一旦被有惡意的人得到,他們就有可能從這些記錄中尋找到有關個人信息的記錄。第二,對機密信息實施加密保護,這樣能夠防止搭線竊聽和黑客入侵。第三,在自己的計算機中安裝防火牆,為自己的區域網提供隔離保護,防止惡意的破壞和入侵。第四,及時更新防病毒系統,用戶可以定期對計算機進行查殺,提高系統的安全性。第五,及時更新系統安全漏洞補丁,從根源上杜絕利用系統漏洞攻擊用戶計算機的病毒。
4結語
本文介紹了一些計算機病毒特性、計算機中病毒時的表現以及防範技術和措施,希望用戶能夠提高自己防範病毒的意識,了解一些防範技術,保護自己的計算機免受病毒的入侵和破壞,保護自己的利益和隱私。如今的時代是一個信息時代,是一個快速發展的時代,信息保護尤為重要,避免自己的信息被病毒感染或竊取也是非常重要的。
D. 關於網路管理員知識的問題
網路管理員的崗位職責:
1、負責公司數據維護、電腦維護、網路維護、網站建立
2、負責網路及數據安全策略的實施
3、負責公司網路安全進行設置、管理以及維護
4、負責公司業務系統、辦公系統的維護及業務數據的管理
5、服從上司的工作分配
IT基礎設施管理職責
主要職責描述:負責管理和保證公司網路、伺服器、台式機等基礎設施的安全性、穩定性運行,規劃、設計、記錄、日常管理、服務監控、知識培訓等工作,為公司信息方面的決策、采購提供所需信息,為確保公司工作流程制定相關網路使用規定和建議,並監督及確保相關人員對規定和制度的執行;必要時仍會兼顧公司分配的其他任務,但主要以IT基礎設施管理為主。
總體為三個方面:
(一)網路維護管理;
(二)系統維護管理;
(三)網路系統技術研究和應用;
1、網路維護管理
A.總體方面,監測公司網路系統的運行狀態,並進行維護,確保其正常運作,包括路由器、交換機,VOIP設備等等;
B.網路拓撲規劃及實現(網路拓撲文檔1);
C.網路設備管理(設備運行維護文檔2);建立拓撲圖,設備維護文檔,包括設備使用情況、升級記錄等;
D.網路安全管理;病毒公告、防禦、檢測、清除,網路反病毒軟體統一部署、升級,網路防火牆的配置管理;
E.網路運行管理;包括網路設備使用規劃、配置、升級,網路使用、帶寬監測;
2、系統維護管理
A.硬體方面;
硬體設備(伺服器、工作機、列印機、移動存儲設備)安裝、配置、運行;
常規故障處理(設備運行維護文檔2,月報表);
協助硬體資產登記,使用情況記錄(設備資產記錄文檔3,月報表);
B.軟體方面;
根據需求規劃、安裝、配置、管理伺服器;
桌面系統支持(關鍵應用軟體統一部署,統一版本控制、區域控制),必要時指導用戶使用相關設備(必要時開展相關人員的IT培訓);
常規伺服器、用戶賬戶以及密碼管理(建立、更新、刪除;按需分配);
伺服器、用戶操作系統安全補丁部署升級管理
、考試說明
1.考試要求:
(1)熟悉計算機系統基礎知識;
(2)熟悉數據通信基本知識;
(3)熟悉計算機網路體系結構解TCP/IP協議基本知識;
(4)熟悉用計算機網路互連設備通信傳輸介質性能、特點;
(5)熟悉Internet基本知識應用;
(6)掌握區域網體系結構區域網技術基礎;
(7)掌握太網性能、特點、組網及簡單管理;
(8)掌握主流操作系統安裝、設置管理;
(9)熟悉DNS、WWW、MAIL、FTP代理伺服器配置管理;
(10)掌握Web網站建立、管理與維護熟悉網頁製作技術;
(11)熟悉綜合布線基礎技術;
(12)熟悉計算機網路安全相關問題防範技術;
(13)解計算機網路關律、規及信息化基礎知識;
(14)解計算機網路新技術、新發展;
(15)確閱讀理解本領域簡單英文資料
2.本考試合格員能夠進行型網路系統設計、構建、安裝調試型區域網運行維護管理根據應用部門需求構建維護Web網站進行網頁製作具助理工程師(或技術員)實際工作能力業務水平
3.本考試設置科目包括:
(1)計算機與網路基礎知識考試間150鍾筆試;
(2)網路系統管理與維護考試間150鍾筆試
二、考試范圍
考試科目1:計算機與網路基礎知識
1.計算機科基礎
1.1 數制及其轉換
二進制、十進制十六進制等用數制及其相互轉換
1.2 數據表示
數表示(原碼、反碼、補碼表示整數實數機內表示)
非數值表示(字元漢字表示、聲音表示、圖像表示)
校驗校驗碼(奇偶校驗)
1.3 算術運算
計算機二進制數運算
2.計算機系統基礎知識
2.1 硬體基礎知識
計算機系統結構工作原理
CPU結構、特徵、類及發展
存儲器結構、特徵類及發展
I/O介面、I/O設備通信設備
2.2 軟體基礎知識
操作系統類型、配置
操作系統功能
資料庫系統基礎知識
應用軟體安裝與配置
網路管理軟體功能
3.計算機網路基礎知識
3.1 數據通信基礎知識
數據信號、信道基本概念
數據通信模型構
數據傳輸基礎知識
數據編碼類基本原理
路復用技術類、基本原理應用領域
數據交換技術類、基本原理性能特點
3.2 計算機網路基礎知識
計算機網路概念、類構
協議概念放系統互連參考模型結構及各層功能
TCP/IP協議概念及IP數據報格式、IP址、網掩碼域名
3.3 區域網技術基礎
IEEE802參考模型
區域網拓撲結構
區域網媒體訪問控制技術CSMA/CD
太網發展歷程
太網類及各種太網性能特點
太網技術基礎、IEEE802.3幀結構、太網跨距
交換型太網、全雙工太網基本原理特點
4.計算機網路應用基礎知識
4.1 特網應用基礎知識
特網概念、起源提供基本服務及我特網現狀
通PSTN、ISDN、ADSL區域網拉入特網基本原理特性
WWW、主頁、超級鏈接、HTML概念及應用
電郵件、FTP、Telnet、BBS、ICQ、網路新聞組、網路傳真、網路視頻議、電商務電政務概念及應用
4.2網路操作系統基礎知識
網路操作系統概念、結構特點
Windows操作系統安裝、配置基本應用
Linux操作系統安裝、配置基本應用、KDE環境Linux操作命令
4.3應用伺服器基礎知識
DNS服務基本原理
WWW服務基本原理
FTP服務基本原理
電郵件服務基本原理
5.網路管理基礎知識
5.1網路管理基本概念
網路管理概念、功能、網路管理標准網路管理模型
簡單網路管理協議SNMP概述、管理信息庫、SNMP操作
5.2 網路管理系統基礎知識
網路管理系統概念
Sniffer功能特點
6.網路安全基礎知識
信計算機系統評估准則
網路安全漏洞
網路安全控制技術
防火牆基本原理
入侵檢測系統功能基本原理
漏洞掃描系統功能基本原理
網路防病毒系統功能基本原理
CA建設概念基本原理
容災系統
應急處理用技術
7.標准化基礎知識
標准化機構
用內外IT標准
8.信息化基本知識
信息化概念
關律、規
9.與網路系統關新技術、新概念
線網、線區域網、線城域網線廣域網標准
線區域網拓撲結構、媒體訪問控制式擴頻技術IEEE802.11
新代網路管理系統
新代網路技術(Ipv6,3G)
網路
10.專業英語
掌握計算機技術基本英文詞彙
能確閱讀理解本領域簡單英文資料
考試科目2:網路系統管理與維護
1.型計算機區域網構建
組網設計
組網技術選擇
組網設備選擇及部署
設備配置管理
劃VLAN
2.綜合布線
綜合布線概念、組、設計及依據標准
綜合布線基礎環境准備
線纜及相關硬體選擇與安裝
綜合布線系統性能指標及測試流程
3.型計算機區域網伺服器配置
IP址、網掩碼規劃配置
DNS伺服器規劃、設置維護(Linux環境Windows環境)
電郵件伺服器規劃、設置維護(Linux環境Windows環境)
FTP伺服器規劃、設置維護(Linux環境Windows環境)
代理伺服器規劃、設置維護(Linux環境Windows環境)
DHCP伺服器安裝與設置
4.Web網站建立、管理維護及網頁製作
Web網路規劃、建設、管理與維護
使用HTML相關軟體進行網頁設計與製作(選用Photoshop、Flash、Fireworks或Dreamweaver等)
JSP、ASP、XML等態網頁編程技術基本概念
5.網路系統運行、維護管理
使用網路管理軟體網路配置、安全、性能、故障、計費進行監督管理
簡單網路故障析、定位、診斷排除
型網路維護策略、計劃實施
數據備份數據恢復
系統性能析系統潛問題析
6.防火牆技術
網路病毒防護策略
防火牆配置策略
入侵處理策略
漏洞處理策
E. ftp弱口令掃描工具有什麼功能
ftp弱口令掃描工具是通過對密碼庫的設置,來對ftp進行掃描,然後把掃描出來的FTP用戶名和密碼保存下來,我們就可以通過FTP用戶名和密碼把我們的鏈接掛在別人的網站上面,以達到增加外部鏈接的作用,本工作室開發的新版極速穩定版(FTP漏洞掃描工具)已經上線,本軟體具有操作簡單,速度快等優點,
QQ:331750511
F. 簡述入侵檢測常用的四種方法
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1、特徵檢測
特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。
異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
(6)ftp漏洞掃描原理擴展閱讀
入侵分類:
1、基於主機
一般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。
這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能准確定位入侵並及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。
2、基於網路
通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。
此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。
3、分布式
這種入侵檢測系統一般為分布式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。
G. 網路安全漏洞掃描器的應用
網路安全掃描器簡介
迅速發展的Internet給人們的生活、工作帶來了巨大的方便,但同時,也帶來了一些不容忽視的問題,網路信息的安全保密問題就是其中之一。
網路的開放性以及黑客的攻擊是造成網路不安全的主要原因。科學家在設計Internet之初就缺乏對安全性的總體構想和設計,我們所用的TCP/IP 協議是建立在可信的環境之下,首先考慮的是網路互連,它是缺乏對安全方面的考慮的。而且TCP/IP協議是完全公開的,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等等這一些性質使網路更加不安全。
先進的技術是實現網路信息安全的有力武器,這些技術包括:密碼技術、身份驗證技術、訪問控制技術、安全內核技術、網路反病毒技術、信息泄漏防治技術、防火牆技術、網路安全漏洞掃描技術、入侵檢測技術等。而在系統發生安全事故之前對其進行預防性檢查,及時發現問題並予以解決不失為一種很好的辦法,於是網路安全漏洞掃描技術應運而生。
1. 掃描器基本工作原理
掃描器是一種自動檢測遠程或本地主機安全脆弱點的程序,通過使用掃描器可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本,這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。
掃描器採用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、伺服器、交換機、資料庫應用等各種對象。然後根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網路安全整體水平產生重要依據。在網路安全體系的建設中,安全掃描工具花費低、效果好、見效快、與網路的運行相對對立、安裝運行簡單,可以大規模減少安全管理員的手工勞動,有利於保持全網安全政策的統一和穩定。
掃描器並不是一個直接的攻擊網路漏洞的程序,它僅僅能幫助我們發現目標機的某些存在的弱點。一個好的掃描器能對它得到的數據進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。
掃描器應該有三項功能:發現一個主機和網路的能力;一旦發現一台主機,有發現什麼服務正運行在這台主機上的能力;通過測試這些服務,發現這些漏洞的能力。
掃描器對Internet安全很重要,因為它能揭示一個網路的脆弱點。在任何一個現有的平台上都有幾百個熟知的安全脆弱點。在大多數情況下,這些脆弱點都是唯一的,僅影響一個網路服務。人工測試單台主機的脆弱點是一項極其繁瑣的工作,而掃描程序能輕易的解決這些問題。掃描程序開發者利用可得到的常用攻擊方法並把它們集成到整個掃描中,這樣使用者就可以通過分析輸出的結果發現系統的漏洞。
2.埠掃描介紹
真正的掃描器是TCP埠掃描器,這種程序可以選通TCP/IP埠和服務(比如,Telnet或FTP),並記錄目標的回答。通過這種方法,可以搜集到關於目標主機的有用信息(比如,一個匿旬用戶是否可以登錄等等)。而其他所謂的掃描器僅僅是UNIX網路應用程序,這些程序一般用於觀察某一服務是否正在一台遠程機器上正常工作,它們不是真正的掃描器,但也可以用於收集目標主機的信息(UNIX平台上通用的rusers和host命令就是這類程序的很好的例子)。
2.1 TCP SYN 掃描
掃描程序發送的SYN數據包,好像准備打開一個新的連接並等待反映一樣。一個SYN|ACK的返回信息表示埠處於偵聽狀態。一個RST 返回表示埠沒有處於偵聽狀態。如果收到一個SYN|ACK,掃描程序必須再發送一個RST 信號,來關閉這個連接過程。
優點:不會在目標計算機上留下紀錄。
缺點:掃描程序必須要有root許可權才能建立自己的SYN數據包。
2.2 TCP FIN 掃描
關閉的埠會用適當的RST來回復FIN數據包,而打開的埠會忽略對FIN數據包的回復。
優點:FIN數據包可以不惹任何麻煩的通過。
缺點:這種方法和系統的實現有一定的關系,有些系統不論是打開的或關閉的埠對FIN數據包都要給以回復,這種情況下該方法就不實用了。
2.3 TCP connect()掃描
操作系統提供connect()系統調用,用來與每一個感興趣的目標計算機的埠進行連接。如果埠處於偵聽狀態,那麼connect()就能成功。否則,這個埠是不能用的,即沒有提供服務。
優點:系統中的任何用戶都有權利使用這個調用;如果對每個目標埠以線性的方式掃描,將會花費相當長的時間,但如果同時打開多個套接字,就能加速掃描。
缺點:很容易被發現,目標計算機的logs文件會顯示一連串連接和連接出錯的消息,並且能很快的將它關閉。
3.掃描程序介紹
目前存在的掃描器產品主要可分為基於主機的和基於網路的兩種,前者主要關注軟體所在主機上面的風險漏洞,而後者則是通過網路遠程探測其它主機的安全風險漏洞。
國外,基於主機的產品主要有:AXENT公司的ESM,ISS公司的System Scanner等,基於網路的產品包括ISS公司的Internet Scanner、AXENT公司的NetRecon、NAI公司的CyberCops Scanner、Cisco的NetSonar等。目前國內有中科院網威工作室開發的NetPower產品出現,另外北方計算機公司(***)也有類似產品。 下面介紹一些可以在Internet上免費獲得的掃描程序。
3.1 NSS(網路安全掃描器)
(1) NSS由Perl語言編成,它最根本的價值在於速度,它運行速度非常快,可以執行下列常規檢查:
■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
註:除非你擁有最高特權,否則NSS不允許你執行Hosts.equiv。
(2) 利用NSS,用戶可以增加更強大的功能,其中包括:
■AppleTalk掃描
■Novell掃描
■LAN管理員掃描
■可掃描子網
(3) NSS執行的進程包括:
■取得指定域的列表或報告,該域原本不存在這類列表
■用Ping命令確定指定主機是否是活性的
■掃描目標主機的埠
■報告指定地址的漏洞
(4) 提示
在對NSS進行解壓縮後,不能立即運行NSS,需要對它進行一些修改,必須設置一些環境變數,以適應你的機器配置。主要變數包括:
$TmpDir_NSS使用的臨時目錄
$YPX-ypx應用程序的目錄
$PING_可執行的ping命令的目錄
$XWININFO_xwininfo的目錄
如果你隱藏了Perl include目錄(目錄中有Perl include文件),並且在PATH環境變數中沒有包含該目錄,需要加上這個目錄;同時,用戶應該注意NSS需要ftplib.pl庫函數。NSS具有並行能力,可以在許多工作站之間進行分布式掃描。而且,它可以使進程分支。在資源有限的機器上運行NSS(或未經允許運行NSS)應該避免這種情況,在代碼中有這方面的選項設置。
3.2 Strobe(超級優化TCP埠檢測程序)
strobe是一個TCP埠掃描器,它可以記錄指定機器的所有開放埠。strobe運行速度快(其作者聲稱在適中的時間內,便可掃描整個一個國家的機器)。
strobe的主要特點是,它能快速識別指定機器上正在運行什麼服務。strobe的主要不足是這類信息是很有限的,一次strobe攻擊充其量可以提供給"入侵者"一個粗略的指南,告訴什麼服務可以被攻擊。但是,strobe用擴展的行命令選項彌補了這個不足。比如,在用大量指定埠掃描主機時,你可以禁止所有重復的埠描述(僅列印首次埠定義)。其他選項包括:
■定義起始和終止埠
■定義在多長時間內接收不到埠或主機響應,便終止這次掃描。
■定義使用的socket號碼
■定義strobe要捕捉的目標主機的文件
在獲得strobe的同時,必然獲得手冊頁面,這對於Solaris 2.3是一個明顯的問題,為了防止發生問題,必須禁止使用getpeername()。在行命令中加入-g 標志就可以實現這一目的。同時,盡管strobe沒有對遠程主機進行廣泛測試,但它留下的痕跡與早期的ISS一樣明顯,被strobe掃描過的主機會知道這一切(這非常象在/var/adm/messages文件中執行連接請求)。
3.3 SATAN(安全管理員的網路分析工具)
SATAN是為UNIX設計的,它主要是用C和Perl語言編寫的(為了用戶界面的友好性,還用了一些HTML技術)。它能在許多類UNIX平台上運行,有些根本不需要移植,而在其他平台上也只是略作移植。
在Linux上運行SATAN有一個特殊問題,應用於原系統的某些規則在Linus平台上會引起系統失效的致命缺陷;在tcp-scan模塊中實現 select()調用也會產生問題;最後要說的是,如果用戶掃描一個完整子網,則會引進反向fping爆炸,也即套接字(socket)緩沖溢出。但是,有一個站點不但包含了用於Linux的、改進的SATAN二進制代碼,還包含了diff文件。SATAN用於掃描遠程主機的許多已知的漏洞,其中包括但並不限於下列這些漏洞:
■FTPD脆弱性和可寫的FTP目錄
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X伺服器脆弱性
SATAN的安裝和其他應用程序一樣,每個平台上的SATAN目錄可能略有不同,但一般都是/satan-1.1.1。安裝的第一步(在閱讀了使用文檔說明後)是運行Perl程序reconfig。這個程序搜索各種不同的組成成分,並定義目錄路徑。如果它不能找到或定義一個瀏覽器。則運行失敗,那些把瀏覽器安裝在非標准目錄中(並且沒有在PATH中進行設置)的用戶將不得不手工進行設置。同樣,那些沒有用DNS(未在自己機器上運行DNS)的用戶也必須在/satan-1.1.1/conf/satan.cf中進行下列設置:$dont_use_nslookuo=1;在解決了全部路徑問題後,用戶可以在分布式系統上運行安裝程序(IRIX或SunOS),我建議要非常仔細地觀察編譯,以找出錯誤。
SATAN比一般掃描器需要更多一些的資源,尤其是在內存和處理器功能方面要求更高一些。如果你在運行SATAN時速度很慢,可以嘗試幾種解決辦法。最直接的辦法就是擴大內存和提高處理器能力,但是,如果這種辦法不行,我建議用下面兩種方法:一是盡可能地刪除其他進程;二是把你一次掃描主機的數量限制在100台以下。最後說明的一點是,對於沒有強大的視頻支持或內存資源有限的主機,SATAN有一個行命令介面,這一點很重要。
3.4 Jakal
Jakal是一個秘密掃描器,也就是就,它可以掃描一個區域(在防火牆後面),而不留下任何痕跡。
秘密掃描器工作時會產生"半掃描"(half scans),它啟動(但從不完成)與目標主機的SYN/ACK過程。從根本上講,秘密掃描器繞過了防火牆,並且避開了埠掃描探測器,識別出在防火牆後面運行的是什麼服務。(這里包括了像Courtney和GAbriel這樣的精製掃描探測器)。
3.5 IdentTCPscan
IdentTCPscan是一個更加專業化的掃描器,其中加入了識別指定TCP埠進程的所有者的功能,也就是說,它能測定該進程的UID。
3.6 CONNECT
CONNECT是一個bin/sh程序,它的用途是掃描TFTP服務子網。
3.7 FSPScan
FSPScan用於掃描FSP服務順。FSP代表文件服務協議,是非常類似於FTP的Internet協議。它提供匿名文件傳輸,並且據說具有網路過載保護功能(比如,FSP從來不分叉)。FSP最知名的安全特性可能就是它記錄所有到來用戶的主機名,這被認為優於FTP,因為FTP僅要求用戶的E- mail地址(而實際上根本沒有進行記錄)。FSP相當流行,現在為Windows 和OS/2開發了GUI客戶程序。
3.8 XSCAN
XSCAN掃描具有X伺服器弱點的子網(或主機)。乍一看,這似乎並不太重要,畢竟其他多數掃描器都能做同樣的工作。然而,XSCAN包括了一個增加的功能:如果它找到了一個脆弱的目標,它會立即加入記錄。
XSCAN的其他優點還包括:可以一次掃描多台主機。這些主機可以在行命令中作為變數鍵入(並且你可以通過混合匹配同時指定主機和子網)。
4. 結束語
隨著Internet的應用日漸普及,網路攻擊的種類和方式也愈來愈多,掃描程序不太可能集成所有的遠程攻擊。每發現一個新的漏洞,掃描程序就應該加入檢查這個新漏洞的能力,這是一個永不停止的過程。因此掃描器最多提供一個快速觀察TCP/IP安全性的工具,通過系統管理員的正確使用,能夠避免一些入侵者的惡意攻擊,但並不能保證網路的安全。
H. 網路攻擊案例
瑞星殺毒 有漏洞掃描的
漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器,系統管理員能夠發現所維護的Web伺服器的各種TCP埠的分配、提供的服務、Web服務軟體版 本和這些服務及軟體呈現在Internet上的安全漏洞。從而在計算機網路系統安全保衛戰中做到「有的放矢」,及時修補漏洞,構築堅固的安全長城。
1.引言
隨著科學技術的飛速發展,21世紀的地球人已經生活在信息時代。20世紀人類兩大科學技術成果--計算機技術和網路技術,均已深入到人類社會的各個領域,Internet把"地球村"的居民緊密聯系在一起,"天涯若比鄰"已然成為現實。互聯網之所以能這樣迅速蔓延,被世人接受,是因為它具備特有的信息資源。無論對商人、學者,還是對社會生活中的普通老百姓,只要你進入網路的世界,就能找到其隱藏的奧妙,就能得到你所需要的價值,而這其中種種的人類社會活動,它們的影響又是相互的。近年來Internet的迅速發展,給人們的日常生活帶來了全新的感受,"網路生存"已經成為時尚,同時人類社會諸如政治、科研、經濟、軍事等各種活動對信息網路的依賴程度已經越來越強,"網路經濟"時代已初露端倪。
然而,網路技術的發展在給我們帶來便利的同時也帶來了巨大的安全隱患,尤其是Internet和Intranet的飛速發展對網路安全提出了前所未有的挑戰。技術是一把雙刃劍,不法分子試圖不斷利用新的技術伺機攻入他人的網路系統,而肩負保護網路安全重任的系統管理員則要利用最新的網路技術來防範各種各樣的非法網路入中形�J率狄丫�礱鰨�孀嘔チ��娜漲髕占埃�諢チ��系姆缸鍩疃�蒼嚼叢蕉啵�乇鶚荌nternet大范圍的開放以及金融領域網路的接入,使得越來越多的系統遭到入侵攻擊的威脅。但是,不管入侵者是從外部還是從內部攻擊某一網路系統,攻擊機會都是通過挖掘操作系統和應用服務程序的弱點或者缺陷來實現的,1988年的"蠕蟲事件" 就是一個很好的實例。目前,對付破壞系統企圖的理想方法是建立一個完全安全的沒有漏洞的系統。但從實際上看,這根本是不可能的。美國Wisconsin大學的Miller給出一份有關現今流行操作系統和應用程序的研究報告,指出軟體中不可能沒有漏洞和缺陷。因此,一個實用的方法是,建立比較容易實現的安全系統,同時按照一定的安全策略建立相應的安全輔助系統,漏洞掃描器就是這樣一類系統。就目前系統的安全狀況而言,系統中存在著一定的漏洞,因此也就存在著潛在的安全威脅,但是,如果我們能夠根據具體的應用環境,盡可能地早地通過網路掃描來發現這些漏洞,並及時採取適當的處理措施進行修補,就可以有效地阻止入侵事件的發生。因此,網路掃描非常重要和必要。
.漏洞掃描器概述
漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器,系統管理員能夠發現所維護的Web伺服器的各種TCP埠的分配、提供的服務、Web服務軟體版本和這些服務及軟體呈現在Internet上的安全漏洞。從而在計算機網路系統安全保衛戰中做到"有的放矢",及時修補漏洞,構築堅固的安全長城。
按常規標准,可以將漏洞掃描器分為兩種類型:主機漏洞掃描器(Host Scanner)和網路漏洞掃描器(Network Scanner)。主機漏洞掃描器是指在系統本地運行檢測系統漏洞的程序,如著名的COPS、tripewire、tiger等自由軟體。網路漏洞掃描器是指基於Internet遠程檢測目標網路和主機系統漏洞的程序,如Satan、ISS Internet Scanner等。
本文針對目前TCP/IP網路和各種網路主機的安全現狀,設計並實現了一個網路漏洞掃描器,在實際使用中取得了很好的效果。
3.網路漏洞掃描器的設計
3.1 網路漏洞掃描器的總體結構
我們設計的漏洞掃描器基於瀏覽器/伺服器(B/S)結構,整個掃描器實現於一個Linux、UNIX和Windows操作系統相混合的TCP/IP網路環境中,其總體結構如圖1所示,其中運行Linux的工作站作為發起掃描的主機(稱為掃描主機),在其上運行掃描模塊和控制平台,並建有漏洞庫。掃描模塊直接從掃描主機上通過網路以其他機器為對象(稱為目標主機,其上運行的操作系統可以是UNIX、Linux、Windows 2000/NT等)進行掃描。而控制平台則提供一個人機交互的界面。
3.2 網路漏洞掃描器的掃描原理和工作原理
網路漏洞掃描器通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息(例如:是否能用匿名登陸,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運行)。在獲得目標主機TCP/IP埠和其對應的網路訪問服務的相關信息後,與網路漏洞掃描系統提供的漏洞庫進行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實現方法之一。如果模擬攻擊成功,則視為漏洞存在。
在匹配原理上,該網路漏洞掃描器採用的是基於規則的匹配技術,即根據安全專家對網路系統安全漏洞、黑客攻擊案例的分析和系統管理員關於網路系統安全配置的實際經驗,形成一套標準的系統漏洞庫,然後再在此基礎之上構成相應的匹配規則,由程序自動進行系統漏洞掃描的分析工作。
所謂基於規則是基於一套由專家經驗事先定義的規則的匹配系統。例如,在對TCP 80埠的掃描中,如果發現/cgi-bin/phf或/cgi-bin/Count.cgi,根據專家經驗以及CGI程序的共享性和標准化,可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是,基於規則的匹配系統也有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對網路系統的很多危險的威脅是來自未知的安全漏洞,這一點和PC殺毒很相似。
實現一個基於規則的匹配系統本質上是一個知識工程問題,而且其功能應當能夠隨著經驗的積累而利用,其自學習能力能夠進行規則的擴充和修正,即是系統漏洞庫的擴充和修正。當然這樣的能力目前還需要在專家的指導和參與下才能實現。但是,也應該看到,受漏洞庫覆蓋范圍的限制,部分系統漏洞也可能不會觸發任何一個規則,從而不被檢測到。
整個網路掃描器的工作原理是:當用戶通過控制平台發出了掃描命令之後,控制平台即向掃描模塊發出相應的掃描請求,掃描模塊在接到請求之後立即啟動相應的子功能模塊,對被掃描主機進行掃描。通過對從被掃描主機返回的信息進行分析判斷,掃描模塊將掃描結果返回給控制平台,再由控制平台最終呈現給用戶。
3.3 CGI的應用
整個漏洞掃描系統利用了瀏覽器/伺服器(B/S)架構,目的是為了消除由於操作系統平台的不同而給程序的運行帶來的差異,還為了能利用HTML提供的一系列功能,如超文本功能、靈活的版面編輯功能來構建一個美觀靈活的人機介面。在該網路漏洞掃描器的實現中,我們通過CGI技術來連接前台的瀏覽器和後台的掃描程序。
CGI是通用網關介面,作為一種規范,它允許Web伺服器執行其他程序並將它們的輸出以相應的方式儲存在發給瀏覽器的文本、圖形和音頻中。CGI程序能夠提供從簡單的表單處理到復雜的資料庫查詢等各種功能,這大大增強了Web的動態處理能力和交互能力。伺服器和CGI程序相結合能夠擴充和自定義World Wide Web的能力。
CGI過程的主要步驟如下:
瀏覽器將URL的第一部分解碼並聯系伺服器;
瀏覽器將URL的其餘部分提供給伺服器;
伺服器將URL轉換成路徑和文件名;
伺服器意識到URL指向一個程序,而非一個靜態的文件;
伺服器准備環境變數,執行CGI程序;
程序執行,讀取環境變數和STDIN;
程序為將來的內容向STDOUT發送正確的MIME頭信息;
程序向STDOUT發送其輸出的其餘部分,然後終止;
伺服器發現程序終止,關閉與瀏覽器的連接;
瀏覽器從程序中顯示輸出。
STDIN和STDOUT是標准輸入和標准輸出的助記符。對Web伺服器,STDOUT送至CGI程序的STDIN,程序的STDOUT反饋回伺服器的STDIN。在激活具有POST方法的CGI程序時,伺服器使用它的STDOUT;對於GET方法,伺服器不使用STDOUT。兩種情況下,伺服器都要求CGI程序通過STDOUT返回信息。在我們的程序中選擇了POST方法。
I. 漏洞檢測的幾種方法
漏洞掃描有以下四種檢測技術:
1.基於應用的檢測技術。它採用被動的、非破壞性的辦法檢查應用軟體包的設置,發現安全漏洞。
2.基於主機的檢測技術。它採用被動的、非破壞性的辦法對系統進行檢測。通常,它涉及到系統的內核、文件的屬性、操作系統的補丁等。這種技術還包括口令解密、把一些簡單的口令剔除。因此,這種技術可以非常准確地定位系統的問題,發現系統的漏洞。它的缺點是與平台相關,升級復雜。
3.基於目標的漏洞檢測技術。它採用被動的、非破壞性的辦法檢查系統屬性和文件屬性,如資料庫、注冊號等。通過消息文摘演算法,對文件的加密數進行檢驗。這種技術的實現是運行在一個閉環上,不斷地處理文件、系統目標、系統目標屬性,然後產生檢驗數,把這些檢驗數同原來的檢驗數相比較。一旦發現改變就通知管理員。
4.基於網路的檢測技術。它採用積極的、非破壞性的辦法來檢驗系統是否有可能被攻擊崩潰。它利用了一系列的腳本模擬對系統進行攻擊的行為,然後對結果進行分析。它還針對已知的網路漏洞進行檢驗。網路檢測技術常被用來進行穿透實驗和安全審記。這種技術可以發現一系列平台的漏洞,也容易安裝。但是,它可能會影響網路的性能。
網路漏洞掃描
在上述四種方式當中,網路漏洞掃描最為適合我們的Web信息系統的風險評估工作,其掃描原理和工作原理為:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標的回答。通過這種方法,可以搜集到很多目標主機的各種信息(例如:是否能用匿名登錄,是否有可寫的FTP目錄,是否能用Telnet,httpd是否是用root在運行)。
在獲得目標主機TCP/IP埠和其對應的網路訪問服務的相關信息後,與網路漏洞掃描系統提供的漏洞庫進行匹配,如果滿足匹配條件,則視為漏洞存在。此外,通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描,如測試弱勢口令等,也是掃描模塊的實現方法之一。如果模擬攻擊成功,則視為漏洞存在。
在匹配原理上,網路漏洞掃描器採用的是基於規則的匹配技術,即根據安全專家對網路系統安全漏洞、黑客攻擊案例的分析和系統管理員關於網路系統安全配置的實際經驗,形成一套標準的系統漏洞庫,然後再在此基礎之上構成相應的匹配規則,由程序自動進行系統漏洞掃描的分析工作。
所謂基於規則是基於一套由專家經驗事先定義的規則的匹配系統。例如,在對TCP80埠的掃描中,如果發現/cgi-bin/phf/cgi-bin/Count.cgi,根據專家經驗以及CGI程序的共享性和標准化,可以推知該WWW服務存在兩個CGI漏洞。同時應當說明的是,基於規則的匹配系統有其局限性,因為作為這類系統的基礎的推理規則一般都是根據已知的安全漏洞進行安排和策劃的,而對網路系統的很多危險的威脅是來自未知的安全漏洞,這一點和PC殺毒很相似。
這種漏洞掃描器是基於瀏覽器/伺服器(B/S)結構。它的工作原理是:當用戶通過控制平台發出了掃描命令之後,控制平台即向掃描模塊發出相應的掃描請求,掃描模塊在接到請求之後立即啟動相應的子功能模塊,對被掃描主機進行掃描。通過分析被掃描主機返回的信息進行判斷,掃描模塊將掃描結果返回給控制平台,再由控制平台最終呈現給用戶。
另一種結構的掃描器是採用插件程序結構。可以針對某一具體漏洞,編寫對應的外部測試腳本。通過調用服務檢測插件,檢測目標主機TCP/IP不同埠的服務,並將結果保存在信息庫中,然後調用相應的插件程序,向遠程主機發送構造好的數據,檢測結果同樣保存於信息庫,以給其他的腳本運行提供所需的信息,這樣可提高檢測效率。如,在針對某FTP服務的攻擊中,可以首先查看服務檢測插件的返回結果,只有在確認目標主機伺服器開啟FTP服務時,對應的針對某FTP服務的攻擊腳本才能被執行。採用這種插件結構的掃描器,可以讓任何人構造自己的攻擊測試腳本,而不用去了解太多掃描器的原理。這種掃描器也可以用做模擬黑客攻擊的平台。採用這種結構的掃描器具有很強的生命力,如著名的Nessus就是採用這種結構。這種網路漏洞掃描器的結構如圖2所示,它是基於客戶端/伺服器(C/S)結構,其中客戶端主要設置伺服器端的掃描參數及收集掃描信息。具體掃描工作由伺服器來完成。