第6章网络安全检测与评估技术优质PPT.ppt
《第6章网络安全检测与评估技术优质PPT.ppt》由会员分享,可在线阅读,更多相关《第6章网络安全检测与评估技术优质PPT.ppt(37页珍藏版)》请在冰点文库上搜索。
本地管理员权限;
普通用户访问权限;
权限提升;
读取受限文件;
远程拒绝服务;
本地拒绝服务;
远程非授权文件存取;
口令恢复;
欺骗;
服务器信息泄露;
其它漏洞。
9,
(2)按漏洞的成因分类可以分为:
输入验证错误类;
访问验证错误类;
竞争条件类;
意外情况处置错误类;
设计错误类;
配置错误类;
环境错误类。
10,6.2网络安全漏洞检测技术,网络安全漏洞检测主要包括端口扫描、操作系统探测和安全漏洞探测。
通过端口扫描可以掌握系统都开放了哪些端口、提供了哪些网络服务;
通过操作系统探测可以掌握操作系统的类型信息;
通过安全漏洞探测可以发现系统中可能存在的安全漏洞。
11,1.端口扫描技术端口扫描的原理是向目标主机的TCP/IP端口发送探测数据包,并记录目标主机的响应。
通过分析响应来判断端口是打开还是关闭等状态信息。
端口扫描技术分为:
TCP端口扫描技术UDP端口扫描技术,6.2.1网络安全漏洞检测技术,12,
(1)TCP端口扫描技术TCP端口扫描技术主要有全连接扫描技术、半连接(SYN)扫描技术、间接扫描技术和秘密扫描技术等。
全连接扫描技术全连接扫描的工作方式是:
对目标主机上感兴趣的端口进行connect()连接试探,如果该端口被监听,则连接成功,否则表示该端口未开放或无法到达。
13,全连接扫描的最大优点是用户无须特殊权限,且探测结果最为准确。
缺点是很容易被目标主机察觉并记录下来。
半连接(SYN)端口扫描技术半连接端口扫描不建立完整的TCP连接,而是只发送一个SYN信息包,就如同正在打开一个真正的TCP连接,并等待对方的回应一样。
14,半连接扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全连接扫描要少得多。
缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
15,
(2)UDP端口扫描技术UDP端口扫描主要用来确定在目标主机上有哪些UDP端口是开放的。
其实现思想是发送零字节的UDP信息包到目标机器的各个端口,若收到一个ICMP端口不可达的回应,则表示该UDP端口是关闭的,否则该端口就是开放的。
16,6.2.2操作系统探测技术由于操作系统的漏洞信息总是与操作系统的类型和版本相联系的,因此操作系统的类型信息是网络安全检测的一个重要内容。
操作系统探测技术主要包括:
获取标识信息探测技术基于TCP/IP协议栈的指纹探测技术基于ICMP响应分析探测技术,17,
(1)获取标识信息探测技术获取标识信息探测技术主要是指借助操作系统本身提供的命令和程序进行操作系统类型探测的技术。
通常,可以利用telnet这个简单命令得到主机操作系统的类型。
18,
(2)基于TCP/IP协议栈的指纹探测技术指纹探测实现依据是不同类型、不同版本的操作系统在协议栈实现上存在细微差别。
操作系统指纹探测步骤为:
形成一个全面的操作系统指纹特征库;
向目标发送多种特意构造的信息包,检测其是否响应这些信息包以及其响应方式;
把从目标返回的特征信息与指纹特征库进行匹配,判断目标机器的操作系统类型等信息。
19,(3)基于ICMP响应分析探测技术ICMP响应分析探测技术是一种较新的操作系统探测技术。
该技术通过发送UDP或ICMP的请求报文,然后分析各种ICMP应答信息来判断操作系统的类型及其版本信息。
本质也是一种基于TCP/IP协议栈的操作系统指纹探测技术。
20,6.2.3安全漏洞探测技术安全漏洞探测是采用各种方法对目标可能存在的已知安全漏洞进行逐项检查。
按照网络安全漏洞的可利用方式来划分,漏洞探测技术可以分为:
信息型漏洞探测和攻击型漏洞探测两种。
按照漏洞探测的技术特征,可以划分为:
基于应用的探测技术、基于主机的探测技术、基于目标的探测技术和基于网络的探测技术等。
21,
(1)信息型漏洞探测技术信息型漏洞探测技术就是通过探测目标的型号、运行的操作系统版本及补丁安装情况、配置情况、运行服务及其服务程序版本等信息确定目标存在的安全漏洞的探测技术。
该技术具有实现方便、对目标不产生破坏性影响的特点。
其不足之处是对于具体某个漏洞存在与否,难以做出确定性的结论。
22,为提高信息型漏洞探测技术的准确率和效率,许多改进措施也不断地被引入:
顺序扫描技术多重服务检测技术,23,
(2)攻击型漏洞探测技术模拟攻击是最直接的漏洞探测技术,其探测结果的准确率也是最高的。
该探测技术的主要思想是模拟网络入侵的一般过程,对目标系统进行无恶意攻击尝试,若攻击成功则表明相应安全漏洞必然存在。
24,(3)漏洞探测技术按其技术特征可分为:
基于应用的检测技术基于主机的检测技术基于目标的漏洞检测技术基于网络的检测技术,25,6.3网络安全检测评估系统简介,计算机网络信息系统安全检测评估系统的发展非常迅速,现在已经成为计算机网络信息系统安全解决方案的重要组成部分。
我们以InternetScanner和Nessus为例来介绍网络安全检测评估系统。
26,6.3.1InternetScanner简介InternetScanner是ISS公司开发的网络安全评估工具,可以对网络漏洞进行分析和提供决策支持。
InternetScanner可以对计算机网络信息系统进行全面的检测和评估。
27,2.InternetScanner的扫描评估过程InternetScanner有计划和可选择性地对网络通信服务、操作系统、主要的应用系统以及路由器和防火墙等进行探测扫描,查找最容易被用来攻击的漏洞,探测、调查和模拟攻击网络。
最后InternetScanner对漏洞情况进行分析,同时提供一系列正确的应采取的措施,提供趋势分析并产生报告和数据。
28,InternetScanner的扫描评估过程,29,
(1)定义扫描会话(Session)InternetScanner利用会话(Session)来定义哪些设备需要被扫描。
创建了某个新的会话时,其中会包含以下三个属性:
用来定义扫描测试内容的策略(Policy);
用来定义扫描范围的KEY文件;
按IP地址定义的需要被扫描的设备组;
30,
(2)定义扫描策略扫描策略(Policy)是用来定义InternetScanner扫描系统时利用攻击库里的哪些攻击方式来尝试攻击系统。
获得策略定义的方法有如下两种:
直接利用InternetScanner默认设置的策略定义;
点击AddPolicy按钮来自定义策略。
31,(3)确定被扫描评估的目标确定被扫描主机的方法有如下三种:
利用某个已经存在的主机文件。
利用行输入方式输入某个或多个IP地址或网段来确定扫描的主机。
ping所有key文件定义网段范围的所有IP地址,只要是可以ping通的设备均会被扫描。
32,(4)生成报告InternetScanner提供多种类型的报告,报告的格式也有多种可选。
行政管理人员报告技术管理人员报告技术人员报告用户定制报告,33,6.3.2Nessus简介Nessus是一套非常简单易用且功能强大的网络安全检测工具。
Nessus的主要特色包括:
Client/Server架构采用plug-in技术调用外部程序增强测试能力Nessus3和Nessus2.x两者在操作使用方面的区别并不明显,因此下面我们将以Nessus2.x为对象来介绍。
34,2.Nessus安装Nessus安装一般包括:
服务端安装、服务端配置、漏洞库插件升级、客户端安装等步骤。
在安装之前,推荐先安装最新版本的NMAP、Hydra、Nikto。
Nessus安装的时候会自动识别这些已安装的外部程序,并集成这些程序来增强Nessus的功能。
服务器推荐在Linux平台下安装,客户端推荐使用NessusWX。
35,3.Nessus使用Nessus使用一般包括:
插件选择、选项部分的配置、端口扫描的配置、扫描对象的输入和启动扫描等步骤。
36,6.4小结,网络安全检测与评估是保证计算机网络系统安全的有效手段。
网络安全检测与评估的目的是通过一定的技术手段先于攻击者发现计算机网络系统的安全漏洞,并对计算机网络系统的安全状况作出正确的评价。
网络安全检测与评估的主要概念包括网络安全漏洞、网络安全评估标准、网络安全评估方法、网络安全检测评估系统等。
37,本章到此结束,谢谢!
升级会员 