ftp漏洞扫描原理
A. 扫描到ftp漏洞怎么入侵
虽然通过刚才的步骤得到了存在FTP弱口令的主机,但并不表明它们都可以被入侵.因为他们的FTP服务器类型还没确定.可能是微软的TP.或者是WUFTP等等.
而入侵时所利用的漏洞是serv-u FTP的, 所以还必须对这些存在FTP弱口令的主机进行一下类型确认;
步骤1 将刚才扫描生成的ftpscan.txt进行过滤.全部留下IP.以每个IP一行的规则保存.
步骤2 打开superscan扫描器.勾选"显示主机响应",IP设置里选择"导入文件",然后选择保存好的ftpscan.txt,最后将扫描端口定义在21上.完成之后就要吧开始扫描了
步骤3:很快扫描完毕.详细显示了被扫描主机的FTP服务器类型.可以看出有台目标主机的FTP服务器类型为:serv-u FTP
二. 入侵指定目标.
通过刚才的扫描等一系列步骤.我已经确定了要下手的目标.
下面,开始使用serv-u MDTM溢出漏洞进行入侵.
步骤1:在命令行下运行serv-u MDTM溢出的利用程序killftp.察看到帮助文件
步骤2:按照提示.我们输入命令:killftp 218.109.2.222 21 ftp ftp. 即对一台IP为218.109.2.222,帐号为FTP.密码为FTP的主机进行攻击,
可以看出,提示成功之后连接8111端口
步骤3:按照成功提示.我们利用NC端口程序连接目标主机的8111端口,输入连接命令: nc -vv 218.109.2.222 8111 很快就可以得到一个新的
DOS窗口.而且这个窗口还是管理员权限的.就这么简单
B. 网络管理员考试
2007年上半年网络管理员考试大纲
一、考试说明
1、 考试要求
(1)熟悉计算机系统基础知识;
(2)熟悉数据通信的基本知识;
(3)熟悉计算机网络的体系结构,了解TCPIP协议的基本知识;
(4)熟悉常用计算机网络互连设备和通信传输介质的性能、特点;
(5)熟悉Internet的基本知识和应用;
(6)掌握局域网体系结构和局域网技术基础;
(7)掌握以太网的性能、特点、组网方法及简单管理;
(8)掌握主流操作系统的安装、设置和管理方法;
(9)熟悉DNS、WWW、MAIL、FTP和代理服务器的配置和管理;
(10)掌握Web网站的建立、管理与维护方法,熟悉网页制作技术;
(11)熟悉综合布线基础技术;
(12)熟悉计算机网络安全的相关问题和防范技术;
(13)了解计算机网络有关的法律、法规,以及信息化的基础知识;
(14)了解计算机网络的新技术、新发展;
(15)正确阅读和理解本领域的简单英文资料。
2、 本考试的合格人员能够进行小型网络系统的设计、构建、安装和调试,中小型局域网的运行维护和日常管理;根据应用部门的需求,构建和维护Web网站,进行网页制作;具有助理工程师(或技术员)的实际工作能力和业务水平。
3、 本考试设置的科目包括
(1) 计算机与网络基础知识,考试时间为150分钟,笔试;
(2) 网络系统的管理与维护,考试时间为150分钟,笔试。
二、考试范围
考试科目1:计算机与网络基础知识
1.计算机科学基础
1.1 数制及其转换
二进制、十进制和十六进制等常用数制及其相互转换
1.2 数据的表示
数的表示(原码、反码、补码表示,整数和实数的机内表示)
非数值表示(字符和汉字表示、声音表示、图像表示)
校验方法和校验码(奇偶校验)
1.3 算术运算
计算机中的二进制数运算方法
2. 计算机系统基础知识
2.1 硬件基础知识
计算机系统的结构和工作原理
CPU的结构、特征、分类及发展
存储器的结构、特征分类及发展
IO接口、IO设备和通信设备
2.2 软件基础知识
操作系统的类型、配置
操作系统的功能
数据库系统基础知识
应用软件的安装与配置
网络管理软件的功能
3. 计算机网络基础知识
3.1 数据通信基础知识
数据信号、信道的基本概念
数据通信模型的构成
数据传输基础知识
数据编码的分类和基本原理
多路复用技术的分类、基本原理和应用领域
数据交换技术的分类、基本原理和性能特点
3.2 计算机网络基础知识
计算机网络的概念、分类和构成
协议的概念,开放系统互连参考模型的结构及各层的功能
TCPIP协议的概念及IP数据报的格式、IP地址、子网掩码和域名
3.3 局域网技术基础
IEEE802参考模型
局域网拓扑结构
局域网媒体访问控制技术CSMACD
以太网的发展历程
以太网的分类及各种以太网的性能特点
以太网技术基础、IEEE802.3帧结构、以太网跨距
交换型以太网、全双工以太网的基本原理和特点
4. 计算机网络应用基础知识
4.1 因特网应用基础知识
因特网的概念、起源和提供的基本服务,以及我国的因特网现状
通过PSTN、ISDN、ADSL和局域网拉入因特网的基本原理和特性
WWW、主页、超级链接、HTML的概念及应用
电子邮件、FTP、Telnet、BBS、ICQ、网络新闻组、网络传真、网络视频会议、电子商务和电子政务的概念及应用
4.2 网络操作系统基础知识
网络操作系统的概念、结构和特点
Windows操作系统的安装、配置和基本应用
Linux操作系统的安装、配置和基本应用、KDE环境和Linux操作命令
4.3 应用服务器基础知识
DNS服务的基本原理
WWW服务的基本原理
FTP服务的基本原理
电子邮件服务的基本原理
5. 网络管理基础知识
5.1 网络管理基本概念
网络管理的概念、功能、网络管理标准和网络管理模型
简单网络管理协议SNMP概述、管理信息库、SNMP操作
5.2 网络管理系统基础知识
网络管理系统概念
Sniffer的功能和特点
6. 网络安全基础知识
可信计算机系统评估准则
网络安全漏洞
网络安全控制技术
防火墙基本原理
入侵检测系统的功能和基本原理
漏洞扫描系统的功能和基本原理
网络防病毒系统的功能和基本原理
CA中心建设的概念和基本原理
容灾系统
应急处理常用方法和技术
7. 标准化基础知识
标准化机构
常用的国内外IT标准
8. 信息化基本知识
信息化概念
有关的法律、法规
9. 与网络系统有关的新技术、新方法的概念
无线个人网、无线局域网、无线城域网和无线广域网的标准
无线局域网的拓扑结构、媒体访问控制方式和扩频技术,IEEE802.11
新一代网络管理系统
新一代网络技术(Ipv6,3G)
网络
10.专业英语
掌握计算机技术的基本英文词汇
能正确阅读和理解本领域的简单英文资料
考试科目2:网络系统的管理与维护
1. 小型计算机局域网的构建
组网设计
组网技术选择
组网设备选择及部署
设备配置和管理
划分VLAN
2. 综合布线
综合布线概念、组成、设计及依据的标准
综合布线基础环境准备
线缆及相关硬件的选择与安装
综合布线系统的性能指标及测试流程
3. 小型计算机局域网服务器配置
IP地址、子网掩码的规划配置
DNS服务器的规划、设置和维护(Linux环境和Windows环境)
电子邮件服务器的规划、设置和维护(Linux环境和Windows环境)
FTP服务器的规划、设置和维护(Linux环境和Windows环境)
代理服务器的规划、设置和维护(Linux环境和Windows环境)
DHCP服务器的安装与设置
4. Web网站的建立、管理维护以及网页制作
Web网络的规划、建设、管理与维护
使用HTML和相关软件进行网页设计与制作(如选用Photoshop、Flash、Fireworks或Dreamweaver等)
JSP、ASP、XML等动态网页编程技术的基本概念
5. 网络系统的运行、维护和管理
使用网络管理软件对网络的配置、安全、性能、故障、计费进行监督和管理
简单网络故障的分析、定位、诊断和排除
小型网络的维护策略、计划和实施
数据备份和数据恢复
系统性能分析,系统潜在问题分析
6. 防火墙技术
网络病毒防护策略
防火墙的配置策略
入侵处理策略
漏洞处理策略
C. 计算机病毒的防护技术
随着计算机和互联网的发展,网络数据和网络信息急剧增多,计算机病毒也出现,渗透到了各个领域,对重要数据造成了严重的破坏,对计算机系统构成了严重的威胁,因此,了解一些常见病毒及其防范技术有着重要的意义。笔者简单阐述了计算机病毒的类型、特点、危害性以及防范技术。
关键词:计算机病毒;信息安全;防范技术
1计算机病毒
1.1计算机病毒的特征
隐蔽性。计算机病毒通常潜藏在正常程序中或磁盘引导扇区中,也有可能隐藏在磁盘空闲概率较大的扇区中[2],很难被用户发现。病毒进入用户计算机后,计算机系统通常能够正常运行,用户感觉不到任何异常。潜伏性。计算机病毒具有依附其他媒体而寄生的能力,依靠这种依附能力,病毒感染了系统后,往往不会马上发作,而是潜伏起来,它会长期隐藏在系统中,当满足特定的条件时它才会启动破坏的功能,有些病毒的隐藏性极好,只有发作时才会被人们感知到。破坏性。计算机被病毒感染后会无法正常工作,用户保存的数据可能会被删除,一些重要的文件会被破坏,大量的内存可能会被占用,有的计算机硬件甚至会被病毒毁坏。有的病毒的破坏性小,比如,只是在计算机屏幕上出现一段文字,或播放一段声音;有的计算机病毒破坏性极强,它会删除计算机的服务文件或者格式化磁盘的重要信息,对计算机造成严重破坏。感染性。计算机病毒可以从一个程序传染到另一个程序,也可以从一台计算机传染到另一台计算机,正是因为病毒的感染性,一旦感染上病毒,很有可能会破坏计算机的重要文件或服务程序,使其无法正常工作[1]。
1.2计算机病毒的种类
按照计算机的连接方式分类,计算机病毒可以分为源码型病毒、嵌入型病毒、外壳型病毒、操作性病毒和定时炸弹型病毒[3]。源码型病毒可以攻击高级语言编写的程序,病毒在源程序编译之前插入病毒代码,最后与源程序一起被编译成可执行文件,因此,刚生成的文件里就有病毒文件[4];嵌入型病毒是将自身嵌入现有程序中,把其攻击的对象与病毒的主体程序以插入的方式进行连接;外壳型病毒会将自己嵌入主程序的四周,在实施攻击时,并不改变其攻击目标,而是依附于宿主程序的头部或尾部;操作系统型病毒主要针对磁盘的引导扇区和文件表分别进行攻击,在计算机运行时,它会窃取到CPU的控制权,用自己的逻辑代码替换操作系统的合法程序模块,在条件允许的情况下进行传播;定时炸弹型病毒可以避开DOS的中断调用,通过底层硬件访问对CMOS进行读写。
1.3计算机病毒发作时的表现
第一,显示屏异常,屏幕显示突然消失,或者时而显示、时而消失,屏幕上出现异常信息或者异常的图案;第二,声音异常,遭受计算机病毒感染后,计算机在运行时,可能会突然出现一些奇怪的声音、音符或者文字;第三,计算机突然死机或重启,当病毒破坏了系统中的重要文件,会造成系统的服务进程无法正常进行,从而导致系统死机或重启;第四,鼠标和键盘失控,有的计算机病毒在运行时,会篡改键盘输入,使用户在键盘上键入的字符和屏幕上显示的字符不一致,或者是键盘上的功能键对应的功能发生错乱。
1.4计算机病毒的发展趋势
网络化,一些新型计算机病毒可以躲避反计算机病毒软件的追击,有些甚至可以潜伏在HTML页面中,当用户上网浏览时触发;隐蔽化,新型计算机病毒更善于隐藏和伪装自己,它的主题会不断在传播中变化,有的病毒会伪装成正常的用户程序,使用户防不胜防;多样化,新的计算机病毒多种多样,并且极具活力,它可以是HTML网页、电子邮件、执行程序和脚本文件等,并且正在向ICQ、卡通图片、网上贺卡等方向发展。
2计算机病毒的防范技术
2.1漏洞扫描技术
不论是操作系统还是应用软件,都不可避免地存在漏洞,这些漏洞带来了安全隐患,因此,及时处理新被发现的漏洞,进行系统升级和打补丁是非常重要的。漏洞扫描技术能够从系统内部检测系统配置的缺陷和不足,能够检测到系统中被黑客利用的各种错误配置和一些系统的漏洞,是一种自动检测本地或者远程主机安全性弱点的程序。漏洞扫描技术大致包括POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等技术。
2.2实时反病毒技术
由于新型计算机病毒层出不穷,杀毒软件不能全面应付计算机病毒的入侵,于是便有了反病毒技术的概念。很多防病毒卡插在系统主板上,实时监控系统的运行,对疑似计算机病毒的行为及时发出警告。反病毒技术的实时监测是先前性的,任何程序在调用之前都被先过滤一遍,一旦有计算机病毒入侵就会报警,并且自动杀毒。
2.3计算机病毒免疫技术
病毒免疫是指系统曾感染过病毒,但是病毒已被处理或者清除,系统将不会再受到同类病毒的感染和攻击。目前常用的免疫方法有针对某一种计算机病毒进行的计算机病毒免疫,但是这种方法不能阻止计算机病毒的破坏行为,还有一种是基于自我完整性检查的计算机病毒免疫方法,它的原理是为可执行程序增加一个可以记录用于恢复自身信息的免疫外壳。
2.4计算机病毒防御技术
病毒防御主要研究如何防御未知和未来病毒,理论上是不能预知未来病毒的机理的。因此,只能立于系统自身的安全性和系统自保护,简单的预防方法有如下几种。(1)养成良好的计算机使用习惯,不随意访问一些非法的或者不安全的网站,这些网站往往都潜伏着病毒,当浏览网页时,可能会导致计算机中病毒。(2)减少传染。病毒的传染途径包括网络、软盘和光盘。不要轻易打卡一些来历不明的邮件,不要运行从互联网上下载的未经查杀处理的软件等,不要在线启动某些软件,对于软盘和光盘传染的病毒,不要随意打开程序或安装软件。(3)经常升级操作系统的安全补丁。很多网络病毒都是通过系统安全漏洞或系统结构缺陷进行传播的,如SCO炸弹、冲击波等。(4)使用复杂的密码。许多网络病毒都是通过猜测简单密码的方式攻击和入侵系统,使用更加复杂烦琐的密码会降低被病毒攻击的概率。(5)迅速隔离受到感染的计算机。计算机异常或被病毒感染时,应立即切断连接,立刻断网,以防止计算机受到更多的感染,或者成为传播源。
3网络安全的防范技巧
第一,要定期清除缓存、历史记录及临时文件夹中的内容,这些记录一旦被有恶意的人得到,他们就有可能从这些记录中寻找到有关个人信息的记录。第二,对机密信息实施加密保护,这样能够防止搭线窃听和黑客入侵。第三,在自己的计算机中安装防火墙,为自己的局域网提供隔离保护,防止恶意的破坏和入侵。第四,及时更新防病毒系统,用户可以定期对计算机进行查杀,提高系统的安全性。第五,及时更新系统安全漏洞补丁,从根源上杜绝利用系统漏洞攻击用户计算机的病毒。
4结语
本文介绍了一些计算机病毒特性、计算机中病毒时的表现以及防范技术和措施,希望用户能够提高自己防范病毒的意识,了解一些防范技术,保护自己的计算机免受病毒的入侵和破坏,保护自己的利益和隐私。如今的时代是一个信息时代,是一个快速发展的时代,信息保护尤为重要,避免自己的信息被病毒感染或窃取也是非常重要的。
D. 关于网络管理员知识的问题
网络管理员的岗位职责:
1、负责公司数据维护、电脑维护、网络维护、网站建立
2、负责网络及数据安全策略的实施
3、负责公司网络安全进行设置、管理以及维护
4、负责公司业务系统、办公系统的维护及业务数据的管理
5、服从上司的工作分配
IT基础设施管理职责
主要职责描述:负责管理和保证公司网络、服务器、台式机等基础设施的安全性、稳定性运行,规划、设计、记录、日常管理、服务监控、知识培训等工作,为公司信息方面的决策、采购提供所需信息,为确保公司工作流程制定相关网络使用规定和建议,并监督及确保相关人员对规定和制度的执行;必要时仍会兼顾公司分配的其他任务,但主要以IT基础设施管理为主。
总体为三个方面:
(一)网络维护管理;
(二)系统维护管理;
(三)网络系统技术研究和应用;
1、网络维护管理
A.总体方面,监测公司网络系统的运行状态,并进行维护,确保其正常运作,包括路由器、交换机,VOIP设备等等;
B.网络拓扑规划及实现(网络拓扑文档1);
C.网络设备管理(设备运行维护文档2);建立拓扑图,设备维护文档,包括设备使用情况、升级记录等;
D.网络安全管理;病毒公告、防御、检测、清除,网络反病毒软件统一部署、升级,网络防火墙的配置管理;
E.网络运行管理;包括网络设备使用规划、配置、升级,网络使用、带宽监测;
2、系统维护管理
A.硬件方面;
硬件设备(服务器、工作机、打印机、移动存储设备)安装、配置、运行;
常规故障处理(设备运行维护文档2,月报表);
协助硬件资产登记,使用情况记录(设备资产记录文档3,月报表);
B.软件方面;
根据需求规划、安装、配置、管理服务器;
桌面系统支持(关键应用软件统一部署,统一版本控制、区域控制),必要时指导用户使用相关设备(必要时开展相关人员的IT培训);
常规服务器、用户账户以及密码管理(建立、更新、删除;按需分配);
服务器、用户操作系统安全补丁部署升级管理
、考试说明
1.考试要求:
(1)熟悉计算机系统基础知识;
(2)熟悉数据通信基本知识;
(3)熟悉计算机网络体系结构解TCP/IP协议基本知识;
(4)熟悉用计算机网络互连设备通信传输介质性能、特点;
(5)熟悉Internet基本知识应用;
(6)掌握局域网体系结构局域网技术基础;
(7)掌握太网性能、特点、组网及简单管理;
(8)掌握主流操作系统安装、设置管理;
(9)熟悉DNS、WWW、MAIL、FTP代理服务器配置管理;
(10)掌握Web网站建立、管理与维护熟悉网页制作技术;
(11)熟悉综合布线基础技术;
(12)熟悉计算机网络安全相关问题防范技术;
(13)解计算机网络关律、规及信息化基础知识;
(14)解计算机网络新技术、新发展;
(15)确阅读理解本领域简单英文资料
2.本考试合格员能够进行型网络系统设计、构建、安装调试型局域网运行维护管理根据应用部门需求构建维护Web网站进行网页制作具助理工程师(或技术员)实际工作能力业务水平
3.本考试设置科目包括:
(1)计算机与网络基础知识考试间150钟笔试;
(2)网络系统管理与维护考试间150钟笔试
二、考试范围
考试科目1:计算机与网络基础知识
1.计算机科基础
1.1 数制及其转换
二进制、十进制十六进制等用数制及其相互转换
1.2 数据表示
数表示(原码、反码、补码表示整数实数机内表示)
非数值表示(字符汉字表示、声音表示、图像表示)
校验校验码(奇偶校验)
1.3 算术运算
计算机二进制数运算
2.计算机系统基础知识
2.1 硬件基础知识
计算机系统结构工作原理
CPU结构、特征、类及发展
存储器结构、特征类及发展
I/O接口、I/O设备通信设备
2.2 软件基础知识
操作系统类型、配置
操作系统功能
数据库系统基础知识
应用软件安装与配置
网络管理软件功能
3.计算机网络基础知识
3.1 数据通信基础知识
数据信号、信道基本概念
数据通信模型构
数据传输基础知识
数据编码类基本原理
路复用技术类、基本原理应用领域
数据交换技术类、基本原理性能特点
3.2 计算机网络基础知识
计算机网络概念、类构
协议概念放系统互连参考模型结构及各层功能
TCP/IP协议概念及IP数据报格式、IP址、网掩码域名
3.3 局域网技术基础
IEEE802参考模型
局域网拓扑结构
局域网媒体访问控制技术CSMA/CD
太网发展历程
太网类及各种太网性能特点
太网技术基础、IEEE802.3帧结构、太网跨距
交换型太网、全双工太网基本原理特点
4.计算机网络应用基础知识
4.1 特网应用基础知识
特网概念、起源提供基本服务及我特网现状
通PSTN、ISDN、ADSL局域网拉入特网基本原理特性
WWW、主页、超级链接、HTML概念及应用
电邮件、FTP、Telnet、BBS、ICQ、网络新闻组、网络传真、网络视频议、电商务电政务概念及应用
4.2网络操作系统基础知识
网络操作系统概念、结构特点
Windows操作系统安装、配置基本应用
Linux操作系统安装、配置基本应用、KDE环境Linux操作命令
4.3应用服务器基础知识
DNS服务基本原理
WWW服务基本原理
FTP服务基本原理
电邮件服务基本原理
5.网络管理基础知识
5.1网络管理基本概念
网络管理概念、功能、网络管理标准网络管理模型
简单网络管理协议SNMP概述、管理信息库、SNMP操作
5.2 网络管理系统基础知识
网络管理系统概念
Sniffer功能特点
6.网络安全基础知识
信计算机系统评估准则
网络安全漏洞
网络安全控制技术
防火墙基本原理
入侵检测系统功能基本原理
漏洞扫描系统功能基本原理
网络防病毒系统功能基本原理
CA建设概念基本原理
容灾系统
应急处理用技术
7.标准化基础知识
标准化机构
用内外IT标准
8.信息化基本知识
信息化概念
关律、规
9.与网络系统关新技术、新概念
线网、线局域网、线城域网线广域网标准
线局域网拓扑结构、媒体访问控制式扩频技术IEEE802.11
新代网络管理系统
新代网络技术(Ipv6,3G)
网络
10.专业英语
掌握计算机技术基本英文词汇
能确阅读理解本领域简单英文资料
考试科目2:网络系统管理与维护
1.型计算机局域网构建
组网设计
组网技术选择
组网设备选择及部署
设备配置管理
划VLAN
2.综合布线
综合布线概念、组、设计及依据标准
综合布线基础环境准备
线缆及相关硬件选择与安装
综合布线系统性能指标及测试流程
3.型计算机局域网服务器配置
IP址、网掩码规划配置
DNS服务器规划、设置维护(Linux环境Windows环境)
电邮件服务器规划、设置维护(Linux环境Windows环境)
FTP服务器规划、设置维护(Linux环境Windows环境)
代理服务器规划、设置维护(Linux环境Windows环境)
DHCP服务器安装与设置
4.Web网站建立、管理维护及网页制作
Web网络规划、建设、管理与维护
使用HTML相关软件进行网页设计与制作(选用Photoshop、Flash、Fireworks或Dreamweaver等)
JSP、ASP、XML等态网页编程技术基本概念
5.网络系统运行、维护管理
使用网络管理软件网络配置、安全、性能、故障、计费进行监督管理
简单网络故障析、定位、诊断排除
型网络维护策略、计划实施
数据备份数据恢复
系统性能析系统潜问题析
6.防火墙技术
网络病毒防护策略
防火墙配置策略
入侵处理策略
漏洞处理策
E. ftp弱口令扫描工具有什么功能
ftp弱口令扫描工具是通过对密码库的设置,来对ftp进行扫描,然后把扫描出来的FTP用户名和密码保存下来,我们就可以通过FTP用户名和密码把我们的链接挂在别人的网站上面,以达到增加外部链接的作用,本工作室开发的新版极速稳定版(FTP漏洞扫描工具)已经上线,本软件具有操作简单,速度快等优点,
QQ:331750511
F. 简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
(6)ftp漏洞扫描原理扩展阅读
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
G. 网络安全漏洞扫描器的应用
网络安全扫描器简介
迅速发展的Internet给人们的生活、工作带来了巨大的方便,但同时,也带来了一些不容忽视的问题,网络信息的安全保密问题就是其中之一。
网络的开放性以及黑客的攻击是造成网络不安全的主要原因。科学家在设计Internet之初就缺乏对安全性的总体构想和设计,我们所用的TCP/IP 协议是建立在可信的环境之下,首先考虑的是网络互连,它是缺乏对安全方面的考虑的。而且TCP/IP协议是完全公开的,远程访问使许多攻击者无须到现场就能够得手,连接的主机基于互相信任的原则等等这一些性质使网络更加不安全。
先进的技术是实现网络信息安全的有力武器,这些技术包括:密码技术、身份验证技术、访问控制技术、安全内核技术、网络反病毒技术、信息泄漏防治技术、防火墙技术、网络安全漏洞扫描技术、入侵检测技术等。而在系统发生安全事故之前对其进行预防性检查,及时发现问题并予以解决不失为一种很好的办法,于是网络安全漏洞扫描技术应运而生。
1. 扫描器基本工作原理
扫描器是一种自动检测远程或本地主机安全脆弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本,这就能让我们间接的或直观的了解到远程主机所存在的安全问题。
扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定。
扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些存在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。
扫描器应该有三项功能:发现一个主机和网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现这些漏洞的能力。
扫描器对Internet安全很重要,因为它能揭示一个网络的脆弱点。在任何一个现有的平台上都有几百个熟知的安全脆弱点。在大多数情况下,这些脆弱点都是唯一的,仅影响一个网络服务。人工测试单台主机的脆弱点是一项极其繁琐的工作,而扫描程序能轻易的解决这些问题。扫描程序开发者利用可得到的常用攻击方法并把它们集成到整个扫描中,这样使用者就可以通过分析输出的结果发现系统的漏洞。
2.端口扫描介绍
真正的扫描器是TCP端口扫描器,这种程序可以选通TCP/IP端口和服务(比如,Telnet或FTP),并记录目标的回答。通过这种方法,可以搜集到关于目标主机的有用信息(比如,一个匿旬用户是否可以登录等等)。而其他所谓的扫描器仅仅是UNIX网络应用程序,这些程序一般用于观察某一服务是否正在一台远程机器上正常工作,它们不是真正的扫描器,但也可以用于收集目标主机的信息(UNIX平台上通用的rusers和host命令就是这类程序的很好的例子)。
2.1 TCP SYN 扫描
扫描程序发送的SYN数据包,好像准备打开一个新的连接并等待反映一样。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST 返回表示端口没有处于侦听状态。如果收到一个SYN|ACK,扫描程序必须再发送一个RST 信号,来关闭这个连接过程。
优点:不会在目标计算机上留下纪录。
缺点:扫描程序必须要有root权限才能建立自己的SYN数据包。
2.2 TCP FIN 扫描
关闭的端口会用适当的RST来回复FIN数据包,而打开的端口会忽略对FIN数据包的回复。
优点:FIN数据包可以不惹任何麻烦的通过。
缺点:这种方法和系统的实现有一定的关系,有些系统不论是打开的或关闭的端口对FIN数据包都要给以回复,这种情况下该方法就不实用了。
2.3 TCP connect()扫描
操作系统提供connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。
优点:系统中的任何用户都有权利使用这个调用;如果对每个目标端口以线性的方式扫描,将会花费相当长的时间,但如果同时打开多个套接字,就能加速扫描。
缺点:很容易被发现,目标计算机的logs文件会显示一连串连接和连接出错的消息,并且能很快的将它关闭。
3.扫描程序介绍
目前存在的扫描器产品主要可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者则是通过网络远程探测其它主机的安全风险漏洞。
国外,基于主机的产品主要有:AXENT公司的ESM,ISS公司的System Scanner等,基于网络的产品包括ISS公司的Internet Scanner、AXENT公司的NetRecon、NAI公司的CyberCops Scanner、Cisco的NetSonar等。目前国内有中科院网威工作室开发的NetPower产品出现,另外北方计算机公司(***)也有类似产品。 下面介绍一些可以在Internet上免费获得的扫描程序。
3.1 NSS(网络安全扫描器)
(1) NSS由Perl语言编成,它最根本的价值在于速度,它运行速度非常快,可以执行下列常规检查:
■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
注:除非你拥有最高特权,否则NSS不允许你执行Hosts.equiv。
(2) 利用NSS,用户可以增加更强大的功能,其中包括:
■AppleTalk扫描
■Novell扫描
■LAN管理员扫描
■可扫描子网
(3) NSS执行的进程包括:
■取得指定域的列表或报告,该域原本不存在这类列表
■用Ping命令确定指定主机是否是活性的
■扫描目标主机的端口
■报告指定地址的漏洞
(4) 提示
在对NSS进行解压缩后,不能立即运行NSS,需要对它进行一些修改,必须设置一些环境变量,以适应你的机器配置。主要变量包括:
$TmpDir_NSS使用的临时目录
$YPX-ypx应用程序的目录
$PING_可执行的ping命令的目录
$XWININFO_xwininfo的目录
如果你隐藏了Perl include目录(目录中有Perl include文件),并且在PATH环境变量中没有包含该目录,需要加上这个目录;同时,用户应该注意NSS需要ftplib.pl库函数。NSS具有并行能力,可以在许多工作站之间进行分布式扫描。而且,它可以使进程分支。在资源有限的机器上运行NSS(或未经允许运行NSS)应该避免这种情况,在代码中有这方面的选项设置。
3.2 Strobe(超级优化TCP端口检测程序)
strobe是一个TCP端口扫描器,它可以记录指定机器的所有开放端口。strobe运行速度快(其作者声称在适中的时间内,便可扫描整个一个国家的机器)。
strobe的主要特点是,它能快速识别指定机器上正在运行什么服务。strobe的主要不足是这类信息是很有限的,一次strobe攻击充其量可以提供给"入侵者"一个粗略的指南,告诉什么服务可以被攻击。但是,strobe用扩展的行命令选项弥补了这个不足。比如,在用大量指定端口扫描主机时,你可以禁止所有重复的端口描述(仅打印首次端口定义)。其他选项包括:
■定义起始和终止端口
■定义在多长时间内接收不到端口或主机响应,便终止这次扫描。
■定义使用的socket号码
■定义strobe要捕捉的目标主机的文件
在获得strobe的同时,必然获得手册页面,这对于Solaris 2.3是一个明显的问题,为了防止发生问题,必须禁止使用getpeername()。在行命令中加入-g 标志就可以实现这一目的。同时,尽管strobe没有对远程主机进行广泛测试,但它留下的痕迹与早期的ISS一样明显,被strobe扫描过的主机会知道这一切(这非常象在/var/adm/messages文件中执行连接请求)。
3.3 SATAN(安全管理员的网络分析工具)
SATAN是为UNIX设计的,它主要是用C和Perl语言编写的(为了用户界面的友好性,还用了一些HTML技术)。它能在许多类UNIX平台上运行,有些根本不需要移植,而在其他平台上也只是略作移植。
在Linux上运行SATAN有一个特殊问题,应用于原系统的某些规则在Linus平台上会引起系统失效的致命缺陷;在tcp-scan模块中实现 select()调用也会产生问题;最后要说的是,如果用户扫描一个完整子网,则会引进反向fping爆炸,也即套接字(socket)缓冲溢出。但是,有一个站点不但包含了用于Linux的、改进的SATAN二进制代码,还包含了diff文件。SATAN用于扫描远程主机的许多已知的漏洞,其中包括但并不限于下列这些漏洞:
■FTPD脆弱性和可写的FTP目录
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X服务器脆弱性
SATAN的安装和其他应用程序一样,每个平台上的SATAN目录可能略有不同,但一般都是/satan-1.1.1。安装的第一步(在阅读了使用文档说明后)是运行Perl程序reconfig。这个程序搜索各种不同的组成成分,并定义目录路径。如果它不能找到或定义一个浏览器。则运行失败,那些把浏览器安装在非标准目录中(并且没有在PATH中进行设置)的用户将不得不手工进行设置。同样,那些没有用DNS(未在自己机器上运行DNS)的用户也必须在/satan-1.1.1/conf/satan.cf中进行下列设置:$dont_use_nslookuo=1;在解决了全部路径问题后,用户可以在分布式系统上运行安装程序(IRIX或SunOS),我建议要非常仔细地观察编译,以找出错误。
SATAN比一般扫描器需要更多一些的资源,尤其是在内存和处理器功能方面要求更高一些。如果你在运行SATAN时速度很慢,可以尝试几种解决办法。最直接的办法就是扩大内存和提高处理器能力,但是,如果这种办法不行,我建议用下面两种方法:一是尽可能地删除其他进程;二是把你一次扫描主机的数量限制在100台以下。最后说明的一点是,对于没有强大的视频支持或内存资源有限的主机,SATAN有一个行命令接口,这一点很重要。
3.4 Jakal
Jakal是一个秘密扫描器,也就是就,它可以扫描一个区域(在防火墙后面),而不留下任何痕迹。
秘密扫描器工作时会产生"半扫描"(half scans),它启动(但从不完成)与目标主机的SYN/ACK过程。从根本上讲,秘密扫描器绕过了防火墙,并且避开了端口扫描探测器,识别出在防火墙后面运行的是什么服务。(这里包括了像Courtney和GAbriel这样的精制扫描探测器)。
3.5 IdentTCPscan
IdentTCPscan是一个更加专业化的扫描器,其中加入了识别指定TCP端口进程的所有者的功能,也就是说,它能测定该进程的UID。
3.6 CONNECT
CONNECT是一个bin/sh程序,它的用途是扫描TFTP服务子网。
3.7 FSPScan
FSPScan用于扫描FSP服务顺。FSP代表文件服务协议,是非常类似于FTP的Internet协议。它提供匿名文件传输,并且据说具有网络过载保护功能(比如,FSP从来不分叉)。FSP最知名的安全特性可能就是它记录所有到来用户的主机名,这被认为优于FTP,因为FTP仅要求用户的E- mail地址(而实际上根本没有进行记录)。FSP相当流行,现在为Windows 和OS/2开发了GUI客户程序。
3.8 XSCAN
XSCAN扫描具有X服务器弱点的子网(或主机)。乍一看,这似乎并不太重要,毕竟其他多数扫描器都能做同样的工作。然而,XSCAN包括了一个增加的功能:如果它找到了一个脆弱的目标,它会立即加入记录。
XSCAN的其他优点还包括:可以一次扫描多台主机。这些主机可以在行命令中作为变量键入(并且你可以通过混合匹配同时指定主机和子网)。
4. 结束语
随着Internet的应用日渐普及,网络攻击的种类和方式也愈来愈多,扫描程序不太可能集成所有的远程攻击。每发现一个新的漏洞,扫描程序就应该加入检查这个新漏洞的能力,这是一个永不停止的过程。因此扫描器最多提供一个快速观察TCP/IP安全性的工具,通过系统管理员的正确使用,能够避免一些入侵者的恶意攻击,但并不能保证网络的安全。
H. 网络攻击案例
瑞星杀毒 有漏洞扫描的
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版 本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到“有的放矢”,及时修补漏洞,构筑坚固的安全长城。
1.引言
随着科学技术的飞速发展,21世纪的地球人已经生活在信息时代。20世纪人类两大科学技术成果--计算机技术和网络技术,均已深入到人类社会的各个领域,Internet把"地球村"的居民紧密联系在一起,"天涯若比邻"已然成为现实。互联网之所以能这样迅速蔓延,被世人接受,是因为它具备特有的信息资源。无论对商人、学者,还是对社会生活中的普通老百姓,只要你进入网络的世界,就能找到其隐藏的奥妙,就能得到你所需要的价值,而这其中种种的人类社会活动,它们的影响又是相互的。近年来Internet的迅速发展,给人们的日常生活带来了全新的感受,"网络生存"已经成为时尚,同时人类社会诸如政治、科研、经济、军事等各种活动对信息网络的依赖程度已经越来越强,"网络经济"时代已初露端倪。
然而,网络技术的发展在给我们带来便利的同时也带来了巨大的安全隐患,尤其是Internet和Intranet的飞速发展对网络安全提出了前所未有的挑战。技术是一把双刃剑,不法分子试图不断利用新的技术伺机攻入他人的网络系统,而肩负保护网络安全重任的系统管理员则要利用最新的网络技术来防范各种各样的非法网络入中形�J率狄丫�砻鳎�孀呕チ��娜涨髌占埃�诨チ��系姆缸锘疃�苍嚼丛蕉啵�乇鹗荌nternet大范围的开放以及金融领域网络的接入,使得越来越多的系统遭到入侵攻击的威胁。但是,不管入侵者是从外部还是从内部攻击某一网络系统,攻击机会都是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的,1988年的"蠕虫事件" 就是一个很好的实例。目前,对付破坏系统企图的理想方法是建立一个完全安全的没有漏洞的系统。但从实际上看,这根本是不可能的。美国Wisconsin大学的Miller给出一份有关现今流行操作系统和应用程序的研究报告,指出软件中不可能没有漏洞和缺陷。因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,但是,如果我们能够根据具体的应用环境,尽可能地早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。因此,网络扫描非常重要和必要。
.漏洞扫描器概述
漏洞扫描器是一种自动检测远程或本地主机安全性弱点的程序。通过使用漏洞扫描器,系统管理员能够发现所维护的Web服务器的各种TCP端口的分配、提供的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。从而在计算机网络系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑坚固的安全长城。
按常规标准,可以将漏洞扫描器分为两种类型:主机漏洞扫描器(Host Scanner)和网络漏洞扫描器(Network Scanner)。主机漏洞扫描器是指在系统本地运行检测系统漏洞的程序,如着名的COPS、tripewire、tiger等自由软件。网络漏洞扫描器是指基于Internet远程检测目标网络和主机系统漏洞的程序,如Satan、ISS Internet Scanner等。
本文针对目前TCP/IP网络和各种网络主机的安全现状,设计并实现了一个网络漏洞扫描器,在实际使用中取得了很好的效果。
3.网络漏洞扫描器的设计
3.1 网络漏洞扫描器的总体结构
我们设计的漏洞扫描器基于浏览器/服务器(B/S)结构,整个扫描器实现于一个Linux、UNIX和Windows操作系统相混合的TCP/IP网络环境中,其总体结构如图1所示,其中运行Linux的工作站作为发起扫描的主机(称为扫描主机),在其上运行扫描模块和控制平台,并建有漏洞库。扫描模块直接从扫描主机上通过网络以其他机器为对象(称为目标主机,其上运行的操作系统可以是UNIX、Linux、Windows 2000/NT等)进行扫描。而控制平台则提供一个人机交互的界面。
3.2 网络漏洞扫描器的扫描原理和工作原理
网络漏洞扫描器通过远程检测目标主机TCP/IP不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息(例如:是否能用匿名登陆,是否有可写的FTP目录,是否能用Telnet,httpd是否是用root在运行)。在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
在匹配原理上,该网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。例如,在对TCP 80端口的扫描中,如果发现/cgi-bin/phf或/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。同时应当说明的是,基于规则的匹配系统也有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁是来自未知的安全漏洞,这一点和PC杀毒很相似。
实现一个基于规则的匹配系统本质上是一个知识工程问题,而且其功能应当能够随着经验的积累而利用,其自学习能力能够进行规则的扩充和修正,即是系统漏洞库的扩充和修正。当然这样的能力目前还需要在专家的指导和参与下才能实现。但是,也应该看到,受漏洞库覆盖范围的限制,部分系统漏洞也可能不会触发任何一个规则,从而不被检测到。
整个网络扫描器的工作原理是:当用户通过控制平台发出了扫描命令之后,控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。通过对从被扫描主机返回的信息进行分析判断,扫描模块将扫描结果返回给控制平台,再由控制平台最终呈现给用户。
3.3 CGI的应用
整个漏洞扫描系统利用了浏览器/服务器(B/S)架构,目的是为了消除由于操作系统平台的不同而给程序的运行带来的差异,还为了能利用HTML提供的一系列功能,如超文本功能、灵活的版面编辑功能来构建一个美观灵活的人机接口。在该网络漏洞扫描器的实现中,我们通过CGI技术来连接前台的浏览器和后台的扫描程序。
CGI是通用网关接口,作为一种规范,它允许Web服务器执行其他程序并将它们的输出以相应的方式储存在发给浏览器的文本、图形和音频中。CGI程序能够提供从简单的表单处理到复杂的数据库查询等各种功能,这大大增强了Web的动态处理能力和交互能力。服务器和CGI程序相结合能够扩充和自定义World Wide Web的能力。
CGI过程的主要步骤如下:
浏览器将URL的第一部分解码并联系服务器;
浏览器将URL的其余部分提供给服务器;
服务器将URL转换成路径和文件名;
服务器意识到URL指向一个程序,而非一个静态的文件;
服务器准备环境变量,执行CGI程序;
程序执行,读取环境变量和STDIN;
程序为将来的内容向STDOUT发送正确的MIME头信息;
程序向STDOUT发送其输出的其余部分,然后终止;
服务器发现程序终止,关闭与浏览器的连接;
浏览器从程序中显示输出。
STDIN和STDOUT是标准输入和标准输出的助记符。对Web服务器,STDOUT送至CGI程序的STDIN,程序的STDOUT反馈回服务器的STDIN。在激活具有POST方法的CGI程序时,服务器使用它的STDOUT;对于GET方法,服务器不使用STDOUT。两种情况下,服务器都要求CGI程序通过STDOUT返回信息。在我们的程序中选择了POST方法。
I. 漏洞检测的几种方法
漏洞扫描有以下四种检测技术:
1.基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置,发现安全漏洞。
2.基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等。这种技术还包括口令解密、把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与平台相关,升级复杂。
3.基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上,不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。
4.基于网络的检测技术。它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审记。这种技术可以发现一系列平台的漏洞,也容易安装。但是,它可能会影响网络的性能。
网络漏洞扫描
在上述四种方式当中,网络漏洞扫描最为适合我们的Web信息系统的风险评估工作,其扫描原理和工作原理为:通过远程检测目标主机TCP/IP不同端口的服务,记录目标的回答。通过这种方法,可以搜集到很多目标主机的各种信息(例如:是否能用匿名登录,是否有可写的FTP目录,是否能用Telnet,httpd是否是用root在运行)。
在获得目标主机TCP/IP端口和其对应的网络访问服务的相关信息后,与网络漏洞扫描系统提供的漏洞库进行匹配,如果满足匹配条件,则视为漏洞存在。此外,通过模拟黑客的进攻手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,也是扫描模块的实现方法之一。如果模拟攻击成功,则视为漏洞存在。
在匹配原理上,网络漏洞扫描器采用的是基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员关于网络系统安全配置的实际经验,形成一套标准的系统漏洞库,然后再在此基础之上构成相应的匹配规则,由程序自动进行系统漏洞扫描的分析工作。
所谓基于规则是基于一套由专家经验事先定义的规则的匹配系统。例如,在对TCP80端口的扫描中,如果发现/cgi-bin/phf/cgi-bin/Count.cgi,根据专家经验以及CGI程序的共享性和标准化,可以推知该WWW服务存在两个CGI漏洞。同时应当说明的是,基于规则的匹配系统有其局限性,因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的,而对网络系统的很多危险的威胁是来自未知的安全漏洞,这一点和PC杀毒很相似。
这种漏洞扫描器是基于浏览器/服务器(B/S)结构。它的工作原理是:当用户通过控制平台发出了扫描命令之后,控制平台即向扫描模块发出相应的扫描请求,扫描模块在接到请求之后立即启动相应的子功能模块,对被扫描主机进行扫描。通过分析被扫描主机返回的信息进行判断,扫描模块将扫描结果返回给控制平台,再由控制平台最终呈现给用户。
另一种结构的扫描器是采用插件程序结构。可以针对某一具体漏洞,编写对应的外部测试脚本。通过调用服务检测插件,检测目标主机TCP/IP不同端口的服务,并将结果保存在信息库中,然后调用相应的插件程序,向远程主机发送构造好的数据,检测结果同样保存于信息库,以给其他的脚本运行提供所需的信息,这样可提高检测效率。如,在针对某FTP服务的攻击中,可以首先查看服务检测插件的返回结果,只有在确认目标主机服务器开启FTP服务时,对应的针对某FTP服务的攻击脚本才能被执行。采用这种插件结构的扫描器,可以让任何人构造自己的攻击测试脚本,而不用去了解太多扫描器的原理。这种扫描器也可以用做模拟黑客攻击的平台。采用这种结构的扫描器具有很强的生命力,如着名的Nessus就是采用这种结构。这种网络漏洞扫描器的结构如图2所示,它是基于客户端/服务器(C/S)结构,其中客户端主要设置服务器端的扫描参数及收集扫描信息。具体扫描工作由服务器来完成。