信息收集与漏洞扫描ppt课件

5/7/20241扫描攻击l目标主机运行的操作系统l是否有的安全保护措施l运行那些服务l服务器软件的版本l存在那些漏洞l目标网络的网络拓扑结构8/1/20231扫描攻击目标主机运行的操作系统是否有的安全15/7/20242扫描类型l网络(地址)扫描l端口扫描l漏洞扫描l调制解调器(modem)扫描l操作系统的协议栈指纹识别(OS FingerPrinting)l旗标(banner)信息获取8/1/20232扫描类型网络(地址)扫描端口扫描漏洞扫描调25/7/20243网络扫描l目的目的黑客首先希望了解你的网络中的详细情况，比如网络拓扑结构，活动主机IP地址，主要服务器，路由器和防火墙。黑客使用扫描工具一般先扫描你的网关、DMZ系统，各种服务器等Internet周边环境，在控制了你的网络周边环境后，再继续攻击你的内部网络。l种类种类发现活跃主机跟踪路由8/1/20233网络扫描目的种类发现活跃主机跟踪路由35/7/20244发现活跃主机lPing：发送一个ICMP回显请求(echo request)数据包，如果目标主机响应一个ICMP回显应答响应(echo replay)数据包，则表示这是一个活跃主机。lTCP扫描：许多网络防火墙都阻塞ICMP消息，因此，发送一个TCP ack包到80端口，如果获得了RST返回，机器是活跃的。8/1/20234发现活跃主机Ping：发送一个ICMP回显45/7/20245TTL&Hop基本概念l跳跳(Hop)：IP数据包经过一个路由器就叫做一个跳。l TTL TTL在路由器中如何工作？在路由器中如何工作？在路由器中如何工作？在路由器中如何工作？当当路路由由器器收收到到一一个个IPIP数数据据包包时时，它它首首先先将将这这个个IPIP数数据据包包的的TTLTTL字字段段减减1 1，如如果果TTLTTL为为0 0则则路路由由器器抛抛弃弃这这个个数数据据包包，并并向向源源IPIP地地址址发发送送一一个个连连接接超超时时的的ICMPICMP数数据据包包。如如果果不不为为0 0则则根根据据路路由由表表将将这这个个数据包发送到下一个路由器或目的网络。数据包发送到下一个路由器或目的网络。8/1/20235TTL&Hop基本概念跳(Hop)：IP数55/7/20246跟踪路由(tracerouting)l黑客可以利用TTL值来确定网络中数据包的路由路径，通过发送一系列TTL值递增的数据包来发现到达目的主机的路由路径。Unix下的跟踪路由工具是Traceroute，发送有递增的TTL值的UDP数据包，同时寻找返回的ICMP超时消息。windows下的跟踪路由工具是tracert。l黑客使用跟踪路由（tracerouting）技术来 确定目标网络的路由器和网关的拓扑结构。8/1/20236跟踪路由(tracerouting)黑客可65/7/20247如何防御网络扫描l 利用防火墙和路由器的数据包过滤功能来阻塞这些消息，还应该阻塞所有流入的ICMP消息，另外，也可以过滤从你的网络流出的ICMP超时信息，从而完全拒绝traceroute的访问。8/1/20237如何防御网络扫描 利用防火墙和路由器的数75/7/20248端口扫描技术Port list8/1/20238端口扫描技术Port list85/7/20249端口扫描结果$portscan 128.3X.XX.XXXPort 21 (ftp service)connection.open.Port 23 (telnet service)connection.open.Port 25 (smtp service)connection.open.Port 53 (domain service)connection.open.Port 79 (finger service)connection.open.Port 111(sunrpc service)connection.open.Port 513(login service)connection.open.Port 514(shell service)connection.open.Port 515(printer service)connection.open.Port 664 connection.open.8/1/20239端口扫描结果$portscan 128.9端口扫描的分类端口扫描的分类105/7/202411TCP connect扫描l最基本的扫描方式，实际上是利用linux提供的系统调用函数connect与目标主机建立TCP连接，完成三次握手。l这种扫描方式会被防火墙记录到访问日志中。因此，会留下扫描痕迹。但是，这种扫描不需要有特殊权限。8/1/202311TCP connect扫描最基本的扫描11TCP connect端口扫描服务端与客户端建立连接成功端口扫描服务端与客户端建立连接成功（目标端口开放）的过程：（目标端口开放）的过程：Client端发送端发送SYN；Server端返回端返回SYN/ACK，表明端口开放；，表明端口开放；Client端返回端返回ACK，表明连接已建立；，表明连接已建立；Client端主动断开连接。端主动断开连接。建立连接成功（目标端口开放）如图所示。建立连接成功（目标端口开放）如图所示。TCP connect端口扫描服务端与客户端建立连接成功（目12TCP connect端口扫描服务端与客户端未建立连接成功（目标端口关闭）过程：Client端发送SYN；Server端返回RST/ACK，表明端口未开放。未建立连接成功(目标端口关闭)如图所示。TCP connect端口扫描服务端与客户端未建立连接成功（13这种扫描方法的优点是实现简单，对操作者的权限没这种扫描方法的优点是实现简单，对操作者的权限没有严格要求（有些类型的端口扫描需要操作者具有有严格要求（有些类型的端口扫描需要操作者具有root权限），系统中的任何用户都有权力使用这个调权限），系统中的任何用户都有权力使用这个调用，而且如果想要得到从目标端口返回用，而且如果想要得到从目标端口返回banners信息，信息，也只能采用这一方法。也只能采用这一方法。另一优点是扫描速度快。如果对每个目标端口以线性另一优点是扫描速度快。如果对每个目标端口以线性的方式，使用单独的的方式，使用单独的connect()调用，可以通过同时调用，可以通过同时打开多个套接字，从而加速扫描。打开多个套接字，从而加速扫描。这种扫描方法的缺点是会在目标主机的日志记录中留这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目标主下痕迹，易被发现，并且数据包会被过滤掉。目标主机的机的logs文件会显示一连串的连接和连接出错的服务文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。信息，并且能很快地使它关闭。这种扫描方法的优点是实现简单，对操作者的权限没有严格要求（有14信息收集与漏洞扫描ppt课件155/7/202416半开放(half open/SYN)扫描l扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。但是，这种扫描需要有root权限。8/1/202316半开放(half open/SYN)扫描16TCP SYN扫描建立连接成功TCP SYN扫描建立连接成功17TCP SYN扫描建立连接未成功TCP SYN扫描建立连接未成功18秘密扫描是一种不被审计工具所检测的扫描技术。秘密扫描是一种不被审计工具所检测的扫描技术。它通常用于在通过普通的防火墙或路由器的筛选它通常用于在通过普通的防火墙或路由器的筛选（filtering）时隐藏自己。）时隐藏自己。秘密扫描能躲避秘密扫描能躲避IDS、防火墙、包过滤器和日志审计，、防火墙、包过滤器和日志审计，从而获取目标端口的开放或关闭的信息。由于没有包从而获取目标端口的开放或关闭的信息。由于没有包含含TCP 3次握手协议的任何部分，所以无法被记录下次握手协议的任何部分，所以无法被记录下来，比半连接扫描更为隐蔽。来，比半连接扫描更为隐蔽。但是这种扫描的缺点是扫描结果的不可靠性会增加，但是这种扫描的缺点是扫描结果的不可靠性会增加，而且扫描主机也需要自己构造而且扫描主机也需要自己构造IP包。现有的秘密扫描包。现有的秘密扫描有有TCP FIN扫描、扫描、TCP ACK扫描、扫描、NULL扫描、扫描、XMAS扫描和扫描和SYN/ACK扫描等。扫描等。秘密扫描秘密扫描是一种不被审计工具所检测的扫描技术。秘密扫描195/7/202420FIN扫描lSYN扫描现在已经不是一种秘密了，许多防火墙和路由器都有相应的措施，它们会对一些指定的端口进行监视，对这些端口的连接请求全部进行记录。l但是许多过滤设备允许FIN数据包通过。因此FIN是中断连接的数据报文，所以许多日志系统不记录这样的数据报文。FIN扫描的原理就是向目标主机的某个端口发送一个FIN数据包。如果收到RST应答表示这个端口没有开放，反之则端口开放。但是有些操作系统不管端口是否开放，都应答RST。8/1/202320FIN扫描SYN扫描现在已经不是一种秘密20TCP FIN扫描建立连接成功TCP FIN扫描建立连接未成功TCP FIN扫描建立连接成功21这种方法与系统的这种方法与系统的TCP/IP实现有一实现有一定的关系，并不是可以应用在所有的系定的关系，并不是可以应用在所有的系统上，有的系统不管端口是否打开，都统上，有的系统不管端口是否打开，都回复回复RST，这样，这种扫描方法就不适，这样，这种扫描方法就不适用了。但这种方法可以用来区别操作系用了。但这种方法可以用来区别操作系统是统是UNIX还是还是Windows。这种方法与系统的TCP/IP实现有一定的关系，并不是可以应22TCP ACK扫描扫描扫描主机向目标主机发送ACK数据包。根据返回的RST数据包有两种方法可以得到端口的信息。方法一是：若返回的RST数据包的TTL值小于或等于64，则端口开放，反之端口关闭，如图所示。TCP ACK扫描23方法二是：方法二是：若返回的若返回的RST数据包的数据包的WINDOW值非零，则端口开放，反之端口关闭，如图值非零，则端口开放，反之端口关闭，如图3-16所示。所示。方法二是：若返回的RST数据包的WINDOW值非零，则端口24 扫描主机将TCP数据包中的ACK（确认）、FIN（结束连接）、RST（重新设定连接）、SYN（连接同步化要求）、URG（紧急）、PSH(接收端将数据转由应用处理)标志位置空后（保留的RES1和RES2对扫描的结果没有任何影响）发送给目标主机。若目标端口开放，目标主机将不返回任何信息，若目标主机返回RST信息，则表示端口关闭。NULL扫描扫描 扫描主机将TCP数据包中的ACK（确认）、F25NULL扫描建立连接成功NULL扫描建立连接未成功NULL扫描建立连接成功NULL扫描建立连接未成功26XMAS扫描原理和NULL扫描的类似，将TCP数据包中的ACK、FIN、RST、SYN、URG、PSH标志位置1后发送给目标主机。在目标端口开放的情况下，目标主机将不返回任何信息。XMAS扫描扫描XMAS扫描原理和NULL扫描的类似，将TCP数据包中的AC27若目标端口关闭，则目标主机将返回RST信息。若目标端口关闭，则目标主机将返回RST信息。28这里要说明的是，这里要说明的是，MS Windows、Cisco、BSDI、HP/UX、MVS以及以及IRIX等操作系统如等操作系统如果通过果通过TCP FIN、XMAS以及以及NULL扫描等方扫描等方式进行扫描的话，对于打开的端口也会发送式进行扫描的话，对于打开的端口也会发送RST数据包，即使所有端口都关闭，也可以进数据包，即使所有端口都关闭，也可以进行应答。根据制作行应答。根据制作Nmap的的Fyodor的方案，使的方案，使用用FIN、XMAS或者或者NULL方式进行扫描的话，方式进行扫描的话，如果所有端口都关闭，那么就可以进行如果所有端口都关闭，那么就可以进行TCP SYN扫描。如果出现打开的端口，操作系统就扫描。如果出现打开的端口，操作系统就会知道是属于会知道是属于MS Windows、Cisco、BSDI、HP/UX、MVS以及以及IRIX中的哪类了。中的哪类了。这里要说明的是，MS Windows、Cisco、BSDI、29这种扫描故意忽略这种扫描故意忽略TCPTCP的的3 3次握手。原来正常的次握手。原来正常的TCPTCP连接可以简化为连接可以简化为SYN-SYN/ACK-ACKSYN-SYN/ACK-ACK形式的形式的3 3次握次握手来进行。这里，扫描主机不向目标主机发送手来进行。这里，扫描主机不向目标主机发送SYNSYN数据包，而先发送数据包，而先发送SYN/ACKSYN/ACK数据包。目标主机将报数据包。目标主机将报错，并判断为一次错误的连接。若目标端口开放，错，并判断为一次错误的连接。若目标端口开放，目标主机将返回目标主机将返回RSTRST信息。信息。SYN/ACK扫描扫描这种扫描故意忽略TCP的3次握手。原来正常的TCP连接可以简30若目标端口关闭，目标主机将不返回任何信息，若目标端口关闭，目标主机将不返回任何信息，数据包会被丢掉数据包会被丢掉若目标端口关闭，目标主机将不返回任何信息，数据包会被丢掉315/7/202432IP碎片扫描l以细小的IP碎片包实现SYN，FIN，XMAS或NULL扫描攻击。即将TCP包头分别放在几个不同的数据包中，从而躲过包过滤防火墙的检测。l扫描主机并不是直接发送扫描主机并不是直接发送TCPTCP探测数据包，而是探测数据包，而是将数据包分成两个较小的将数据包分成两个较小的IPIP段。这样就将一个段。这样就将一个TCPTCP头分成好几个数据包，从而过滤器就很难探头分成好几个数据包，从而过滤器就很难探测到，扫描就可以在不被发现的情况下进行。但测到，扫描就可以在不被发现的情况下进行。但是需要注意的是，一些程序在处理这些小数据包是需要注意的是，一些程序在处理这些小数据包时会有些麻烦，并且不同的操作系统在处理这个时会有些麻烦，并且不同的操作系统在处理这个数据包的时候，通常会出现问题。数据包的时候，通常会出现问题。8/1/202332IP碎片扫描以细小的IP碎片包实现SYN325/7/202433UDP扫描l这种扫描攻击用来确定目标主机上哪个UDP端口开放。通常是通过发送零字节的UDP数据包到目标机器的各个UDP端口，如果我们收到一个ICMP端口无法到达的回应，那么该端口是关闭的，否则我们可以认为它是敞开大门的。lUDP扫描的意义：确定目标主机是否存在那些基于UDP协议的服务如snmp,tftp,NFS,DNS。lICMP数据包的发送速度有限制。而UDP扫描速度更快。8/1/202333UDP扫描这种扫描攻击用来确定目标主机上335/7/202434被扫描主机的响应lTCP扫描的响应：l目标主机响应SYN/ACK，则表示这个端口开放。l目标主机发送RST，则表示这个端口没有开放。l目标主机没有响应，则可能是有防火墙或主机未运行。lUDP扫描的响应：l目标主机响应端口不可达的ICMP报文则表示这个端口关闭。l目标主机没有响应，并且目标主机响应了ping，则这个端口被打开，如果防火墙阻塞了ICMP消息，则这个端口可能是关闭的。8/1/202334被扫描主机的响应TCP扫描的响应：UDP34随着防火墙的广泛应用，普通的扫描很难穿过防火随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙保护的网络。即使扫描能穿过防墙去扫描受防火墙保护的网络。即使扫描能穿过防火墙，扫描的行为仍然有可能会被防火墙记录下来。火墙，扫描的行为仍然有可能会被防火墙记录下来。如果如果扫描是对非连续性端口、源地址不一致、时间扫描是对非连续性端口、源地址不一致、时间间隔很长且没有规律的扫描间隔很长且没有规律的扫描的话，这些扫描的记录的话，这些扫描的记录就会淹没在其他众多杂乱的日志内容中。使用慢速就会淹没在其他众多杂乱的日志内容中。使用慢速扫描的目的也就是这样，骗过防火墙和入侵检测系扫描的目的也就是这样，骗过防火墙和入侵检测系统而收集信息。虽然扫描所用的时间较长，但这是统而收集信息。虽然扫描所用的时间较长，但这是一种比较难以被发现的扫描。一种比较难以被发现的扫描。慢速扫描随着防火墙的广泛应用，普通的扫描很难穿过防火墙去扫描受防火墙35乱序扫描也是一种常见的扫描技术，扫描器扫描的时候不是进行有序的扫描，扫描端口号的顺序是随机产生的，每次进行扫描的顺序都完全不一样，这种方式能有效地欺骗某些入侵检测系统而不会被发觉。乱序扫描乱序扫描也是一种常见的扫描技术，扫描器扫描的时候不是进行有365/7/202437RPC扫描l用Sun RPC程序的NULL命令来确定是否有RPC端口开放，如果有，运行什么程序，何种版本。这种扫描相当于执行rpcinfo-p命令。8/1/202337RPC扫描用Sun RPC程序的NULL375/7/202438源端口扫描不使用操作系统分配的大于1024的任意端口，而是扫描器指定一个的源端口，对目标主机进行扫描，这样可以逃避路由器或防火墙的访问控制过滤规则。8/1/202338源端口扫描不使用操作系统分配的大于102385/7/202439扫描器（scanner）扫描器是一种自动检测远程或本地主机安全性扫描器是一种自动检测远程或本地主机安全性弱点的软件。主要有端口扫描器和漏洞扫描器弱点的软件。主要有端口扫描器和漏洞扫描器两种。扫描器通常集成了多种功能。两种。扫描器通常集成了多种功能。n n端口扫描器的作用是进行端口探测，检查远程端口扫描器的作用是进行端口探测，检查远程主机上开启的端口。主机上开启的端口。n n漏洞扫描器则是把各种安全漏洞集成在一起，自漏洞扫描器则是把各种安全漏洞集成在一起，自动利用这些安全漏洞对远程主机尝试攻击，从而动利用这些安全漏洞对远程主机尝试攻击，从而确定目标主机是否存在这些安全漏洞。确定目标主机是否存在这些安全漏洞。n n因此，扫描器是一把双刃剑，系统管理员使用因此，扫描器是一把双刃剑，系统管理员使用它来查找系统的潜在漏洞，而黑客利用它进行它来查找系统的潜在漏洞，而黑客利用它进行攻击。攻击。8/1/202339扫描器（scanner）扫描器是一种自动395/7/202440常见的扫描工具lNMAP，winmap www.insecure.orglFoundstone公司的Robin keir开发的superscan l流光 fluxay4.7 http:/ 405/7/202441如何防御端口扫描l关闭所有不必要的端口 l自己定期的扫描网络主机、开放的端口 l使用基于状态数据包过滤器或是代理等智能防火墙来阻塞黑客的扫描攻击 8/1/202341如何防御端口扫描关闭所有不必要的端口 415/7/202442OS fingerprinting操作系统的指纹识别l根据不同类型的操作系统的TCP/IP协议栈的实现特征(stack fingerprinting)来判别主机的操作系统类型。l不同的操作系统厂商的TCP/IP协议栈实现存在细微差异，对于特定的RFC文档作出不同的解释。l向目标主机发送特殊的数据包，然后根据目标主机的返回信息在扫描工具的操作系统指纹特征数据库中查找匹配的操作系统名。8/1/202342OS fingerprinting操作425/7/202443主动与被动的协议栈指纹识别l主动协议栈指纹识别：扫描器主动地向目标系统发送特殊格式的数据包，这种方式可能会被网络IDS系统检测出来。l被动协议栈指纹识别：通过被动地监听网络流量，来确定目标主机地操作系统。一般根据数据包的一些被动特征：TTL，窗口大小，DF等。8/1/202343主动与被动的协议栈指纹识别主动协议栈指纹435/7/202444扫描应用软件版本l在第一次连接时，许多软件都公布了版本号(如sendmail,FTP,IMAPD，Apache等)。黑客根据这些连接信息(banner)就可以知道目标的应用软件的版本信息。根据版本号很容易在网上查到它的已知漏洞，根据这些漏洞对目标主机进行攻击。8/1/202344扫描应用软件版本在第一次连接时，许多软件44信息收集与漏洞扫描ppt课件45信息收集与漏洞扫描ppt课件46NMap扫描器Nmap(Network Mapper)是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描一个网络或一台主机上的开放的端口。Nmap使用原始IP包来发现网络上有哪些主机，那些主机提供什么服务(应用程序名和版本)，那些服务运行在什么操作系统(包括版本信息)，使用什么类型的包过滤器/防火墙，以及一些其它功能。Nmap原来是用于Unix系统的命令行应用程序。但自从2000年以来，这个应用程序就有了Windows版本。但在Windows平台上至今还没有提供图形界面，NMap扫描器Nmap(Network Mapper)是47Nmap简介Nmap输出的是扫描目标的列表，以及每个目标的补充信息，至于是哪些信息则依赖于所使用的选项。“所感兴趣的端口表”是输出信息的关键。表中列出端口号、协议、服务名称和状态。状态可能是open(开放的)、filtered(被过滤的)、closed(关闭的)或者unfiltered(未被过滤的)。如果Nmap报告状态组合open|filtered和closed|filtered时，那说明Nmap无法确定该端口处于两个状态中的哪一个状态。当要求进行版本探测时，也可以包含软件的版本信息。当要求进行IP协议扫描时，Nmap提供所支持的IP协议而不是正在监听的端口的信息。除了端口表，Nmap还能提供关于目标主机的进一步信息，包括反向域名、操作系统猜测、设备类型和MAC地址等 Nmap简介Nmap输出的是扫描目标的列表，以及每个目标的补48信息收集与漏洞扫描ppt课件49端口扫描器设定主机设定端口范围扫描结果端口扫描器设定主机设定端口范围扫描结果50漏洞扫描漏洞，又称脆弱性(vulnerability)，是计算机系统在硬件、软件、协议的具体实现和系统安全策略上存在缺陷和不足，从而可以使攻击者能够在未授权的情况下访问或破坏系统。在不同的软、硬件设备中，不同系统中或同种系统在不同的设置条件下，都会存在各自不同的漏洞。而且漏洞问题是不可避免的，它将长期存在。漏洞本身并不能对系统安全造成什么损害，关键问题在于攻击者可以利用这些漏洞引发安全事件。漏洞扫描漏洞，又称脆弱性(vulnerability)，是计51漏洞的分类 从脆弱性来源划分系统配置不当导致的脆弱性 各种系统软件、应用软件存在脆弱性 系统的某些功能自身存在安全隐患 操作系统本身存在安全隐患 漏洞的分类 从脆弱性来源划分52从网络攻击的角度 非法获取系统操作权限 执行任意代码非法读写系统文件拒绝服务口令获取服务信息泄漏伪造信息欺骗设置后门 从网络攻击的角度 53漏洞分级:根据对系统造成的潜在威胁以及被利用的可能性可将各种安全漏洞进行分级，可以分为高、中、低3级;漏洞库:漏洞库就是把所有系统安全漏洞及其相关信息存储到数据库中，方便计算机用户更详细地了解系统安全漏洞，方便用户检索自己的系统会存在哪些漏洞，可能对系统安全造成什么危害以及如何补救等等。漏洞分级:根据对系统造成的潜在威胁以及被利用的可能性可将各种54国内较知名的公布漏洞方面的站点:国家计算机网络入侵防范中心（http:/）绿盟科技（http:/）安全焦点（http:/）中国信息安全论坛（http:/）安络科技（http:/）20CN网络安全小组（http:/）中国计算机网络应急处理协调中心（http:/ focus漏洞库CVE(Common Vulnerability and Exposures)漏洞库等国际安全组织建立的漏洞库56漏洞扫描技术根据扫描的目标，扫描器产品可分为基于主机的和基于网络的两种。基于主机的扫描是在被检查主机上运行扫描器，检查所在主机上面的漏洞；而基于网络的扫描是通过网络远程探测其他主机的安全漏洞。根据扫描方法，可以将脆弱性扫描分为静态检查和动态测试法：静态检查：根据安全脆弱点数据库，建立特定于具体网络环境和系统的检测表，表中存放了关于已知的脆弱点和配置错误的内容，检查程序逐项检查表中的每一项并和系统进行对比。如果系统与之相符，则该项通过了检测。若不符合，则报告并建议修复措施。动态测试：应用特定的脚本或程序去检查或试探主机或网络是否具有某种脆弱点。漏洞扫描技术根据扫描的目标，扫描器产品可分为基于主机的和基于5758工具(1)X-Port(2)PortScanner(3)SuperScan(4)流光(5)X-Scan X-Scan解压后即可运行，X-Scan程序的主界面如图3-1所示。58工具(1)X-Port 58X-ScanX-Scan59信息收集与漏洞扫描ppt课件60XSCANXSCAN615/7/202462其它漏洞扫描工具lNessus：最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址：http:/www.nessus.orglISS Internet Scanner：（应用层风险评估工具）商业漏洞扫描软件。lRetina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主机并且报告发现的每一个缺陷。8/1/202362其它漏洞扫描工具Nessus：ISS I62RetinaRetina635/7/202464漏洞扫描工具lNessus：最好的开放源代码风险评估工具，可以运行在Linux、BSD、Solaris。能够完成超过1200项的远程安全检查，具有多种报告输出能力。并且会为每一个发现的安全问题提出解决建议。网址：http:/www.nessus.orglISS Internet Scanner：（应用层风险评估工具）商业漏洞扫描软件。lRetina（eEye公司的风险评估扫描工具）：Retina的功能是扫描网络内所有的主机并且报告发现的每一个缺陷。8/1/202364漏洞扫描工具Nessus：ISS Int64MBSA：Microsoft 基线安全性分析器，可针对其产品更新进行检查并提供已知漏洞修补。MBSA基于本地安全检查，准确性高，但需要管理员权限。Tenable Nessus：扫描侦测系统的漏洞信息并提供详细的分析报告，包括漏洞数目统计、严重性等。针对扫描结果，提供安全建议及修补信息等。远程扫描不需要任何权限，漏洞扫描准确性稍差。MBSA：Microsoft 基线安全性分析器，可针对其产品65Microsoft(MBSA)操作平台：Windows 2000 和 Windows XP Internet Explorer 5.01 或更新版本 需要一个 XML 剖析器(MSXML 版本 3.0 SP2)。若要进行远程 IIS 计算机扫描，则安装此工具的计算机必须含有 IIS Common Files。MBSA 2.0下载：http:/ 66Microsoft(MBSA)可以扫描下列产品存在的安全漏洞：Windows NT 4.0、Windows 2000、Windows XP、Internet Information Server(IIS)4.0 和 5.0、SQL Server 7.0 和 2000、Internet Explorer(IE)5.01 或更新版本及 Office 2000 和 2002。最终产生一个 XML格式的安全性报告文件并以 HTML 的格式显示报告。Microsoft(MBSA)可以扫描下列产品存在的安全漏67MBSA使用選擇掃瞄主機MBSA使用選擇掃瞄主機68MBSA使用设定扫描种类MBSA使用设定扫描种类69MBSA使用结果报告便利連結，直接修補MBSA使用结果报告便利連結，直接修補70MBSA使用建议更新MBSA使用建议更新71MBSA使用再扫描成果MBSA使用再扫描成果72建议操作流程定期进行漏洞扫描检视漏洞扫描分析报告并修正存在的漏洞进行安全组件的更新修补漏洞再次进行漏洞扫描，确认漏洞是否已获得修补建议操作流程定期进行漏洞扫描73Nessus简介Nessus是采用Client-server架构的远程漏洞扫描系统。server端执行漏洞探测，client端执行漏洞扫描设置及显示报告。Server：Solaris,FreeBSD,GNU/Linux，windows。Client：GTK、Java、Windows。Nessus采用插件式(Plug-in)结构，将要扫描的漏洞作为插件方便地添加到系统中。为方便用户编写自己的漏洞测试项，Nessus提供攻击脚本语言NASL(Nessus Attack Script Language)检查的结果可以使用HTML、纯文本、XML、LaTeX等格式保存。Nessus下载：http:/www.nessus.org/Nessus简介Nessus是采用Client-server74Nessus使用Nessus使用75Nessus使用设定扫描目标Localhost 或 被掃瞄IPNessus使用设定扫描目标Localhost 或 被掃瞄76Nessus使用设定扫描类型Nessus使用设定扫描类型77Nessus使用选择nessus服务器請選擇此項，除非您自己架Nessus主機。Nessus使用选择nessus服务器請選擇此項，除非您自78Nessus使用扫描报告Nessus使用扫描报告79Nessus使用远程扫描报告Nessus使用远程扫描报告80Tenable Nessus 3.03下載http:/www.nessus.org/Tenable Nessus 3.03下載http:/w81System Vulnerabilities SANS Top 20SANS Institute and the National Infrastructure Protection Center(NIPC)at the FBI released a document summarizing the Ten Most Critical Internet Security Vulnerabilities.“The vast majority of worms and other successful cyber attacks are made possible by vulnerabilities in a small number of common operating system services.”http:/www.sans.org/top20/System Vulnerabilities SANS To82Top Vulnerabilities to Windows Systems from SANs Top 20W1 Web Servers&Services W2 Workstation Service W3 Windows Remote Access Services W4 Microsoft SQL Server(MSSQL)W5 Windows Authentication W6 Web Browsers W7 File-Sharing Applications W8 LSAS Exposures W9 Mail Client W10 Instant Messaging Top Vulnerabilities to Windows83Top Vulnerabilities to Unix Systems from SANs Top 20U1 BIND Domain Name System U2 Web Server U3 Authentication U4 Version Control Systems U5 Mail Transport Service U6 Simple Network Management Protocol(SNMP)U7 Open Secure Sockets Layer(SSL)U8 Misconfiguration of Enterprise Services NIS/NFS U9 Databases U10 Kernel Top Vulnerabilities to Unix Sy84著名的计算机漏洞数据库CERT www.cert.orgCVE www.cve.mitre.orgBUGTRAQ http:/ http:/www.kb.cert.org/vuls/IBM ISS XFORCE http:/ Vulnerability Database http:/nvd.nist.gov/OSVDB http:/osvdb.org/著名的计算机漏洞数据库CERT www.cert.org85CVECVE86OSVDBOSVDB87