漏洞扫描技术(原版)课件.ppt

漏洞扫描技术教研部2014-10-111PPT课件课程目标了解漏洞扫描原理了解漏洞扫描技术掌握漏洞扫描主要方法掌握漏洞扫描工具的使用2PPT课件目录目录漏洞漏洞扫描概述描概述实验与与练习小小结小小结典型漏洞典型漏洞扫描技描技术原理原理典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告包括哪些内容告包括哪些内容漏洞扫描概述什么是漏洞扫描？漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。漏洞扫描的意义：安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。目录目录漏洞漏洞扫描概述描概述实验与与练习小小结小小结典型漏洞典型漏洞扫描描技技术典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告包括哪些内容告包括哪些内容漏洞扫描基本原理l网络漏洞扫描进行工作时，首先探测目标系统的存活主机，对存活主机进行端口扫描，确定系统开放的端口，同时根据协议指纹技术识别出主机的操作系统类型。然后跟据目标系统的操作，系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在漏洞。l当前的漏洞扫描技术主要是基于特征匹配原理，一些漏洞扫描器通过检测目标主机不同的端口开放的服务，记录其应答，然后与漏洞库进行比较，如果满足匹配条件，则认为存在安全漏洞。所以漏洞库的精确性影响最终的扫描结果。漏洞扫描主要方法l端口端口扫描：描：在在端口端口扫描后得知目描后得知目标主机开启的端口以及端口上的网主机开启的端口以及端口上的网络服服务，将，将这些相关信息与网些相关信息与网络漏洞漏洞扫描系描系统提供的漏洞提供的漏洞库进行匹配，行匹配，查看是否有看是否有满足匹配条件的漏洞足匹配条件的漏洞存在。存在。l模模拟攻攻击：通通过模模拟黑客的攻黑客的攻击手法，手法，对目目标主机系主机系统进行攻行攻击性性的安全漏洞的安全漏洞扫描，如描，如测试弱弱势口令等。若模口令等。若模拟攻攻击成功，成功，则表表明目明目标主机系主机系统存在安全存在安全漏洞。漏洞。漏洞扫描主要策略l主机漏洞扫描：通常在目标系统上安装了一个代理（Agent）或者是服务（Services）以便能够访问所有的文件与进程，以此来扫描计算机中的漏洞。l网络漏洞扫描：通过网络来扫描远程计算机中的漏洞，基于网络的漏洞扫描可以看作为一种漏洞信息收集，他根据不同漏洞的特性 构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。主要漏洞扫描技术主机扫描技术端口扫描技术服务及系统识别技术 漏洞扫描阶段黑客在入侵系统之前，通常先对攻击目标进行扫描。一次完整的网络扫描主要分为3个阶段：（1）发现目标主机或网络（2）搜集目标信息（OS类型、服务、服务软件版本）（3）判断或检测目标系统是否存在安全漏洞漏洞扫描阶段一、发现目标通过发送不同类型的ICMP或TCP、UDP请求，检测目标主机是否存活。使用的技术通常称作ping扫射，包括ICMP扫射、广播ICMP、非回显ICMP、TCP扫射、UDP扫射。漏洞扫描阶段1 1、ICMPICMP扫射扫射使用使用ICMPICMP回显请求轮询目标主机回显请求轮询目标主机优点优点：简单：简单缺缺点点：较较慢慢；不不十十分分可可靠靠，如如果果目目标标关关闭闭了了对对ICMPICMP回回显显请请求求的的响响应应，则不能发现则不能发现。2 2、广播、广播ICMPICMP发送发送ICMPICMP回显请求到目标网络的网络地址或广播地址回显请求到目标网络的网络地址或广播地址优点优点：简单；速度比：简单；速度比ICMPICMP扫射快扫射快缺缺点点：只只对对UinxUinx系系统统有有效效；如如果果目目标标关关闭闭了了对对ICMPICMP回回显显请请求求的的响响应应，则则不能发现。不能发现。漏洞扫描阶段3 3、非回显ICMPICMP发送其它类型发送其它类型ICMPICMP报文到目标主机（如类型报文到目标主机（如类型1313、1717）优点：不受目标阻止优点：不受目标阻止ICMPICMP回显请求的影响回显请求的影响缺点：由于不同缺点：由于不同OSOS的实现，某些类型的的实现，某些类型的ICMPICMP请求会受限。请求会受限。4 4、TCPTCP扫射发送发送TCP SYNTCP SYN或或TCP ACKTCP ACK到目标主机到目标主机优点：最有效的目标发现方法优点：最有效的目标发现方法缺点：对入侵者而言，防火墙可能影响这种方法的可靠性。缺点：对入侵者而言，防火墙可能影响这种方法的可靠性。漏洞扫描阶段5、UDP扫射发送发送UDPUDP数据报到目标网络的广播地址或主机数据报到目标网络的广播地址或主机优点：不受目标阻止优点：不受目标阻止ICMPICMP回显请求的影响回显请求的影响缺点：可靠性低。缺点：可靠性低。漏洞扫描阶段二、搜集信息获得目标主机的操作系统信息和开放的服务信息。用到的主要技术有：端口扫描、操作系统探测。漏洞扫描阶段1 1、端口扫描获得目标主机开放的端口和服务信息。（1 1）TCP TCP connect()connect()扫描利用操作系统提供的connect()系统调用，与目标主机的端口进行连接。（2 2）TCP SYNTCP SYN扫描向目标主机的端口发送一个TCP SYN报文，辨别收到的响应是SYN/ACK报文还是RST报文。又称“半开扫描”。漏洞扫描阶段（3）TCP FIN扫描向目标主机的端口发送一个TCP FIN报文，开放的端口不作回应，关闭的端口响应一个RST报文。通常只对unix的tcp/ip协议栈有效。（4）TCP 空扫描漏洞扫描阶段2、操作系统探测确定操作系统类型。主要方法是利用TCP/IP协议栈指纹。每个操作系统通常都使用自己的TCP/IP协议栈，在实现时都有自己的特点，一些可选的特性并不总被实现，甚至对协议做某些改进。常用技术有：ICMP响应分析、TCP响应分析漏洞扫描阶段（1）ICMP响应分析向目标发送UDP或ICMP报文，根据不同的响应特征来判断操作系统。需注意的是TOS、总长度、标识、DF位、TTL、校验和字段。uICMP差错报文引用大小；uICMP差错报文完整性；uICMP差错报文的“优先权”字段；uICMP差错报文IP头部的不分片位（DF）；uICMP差错报文IP头部的TTL字段缺省值；漏洞扫描阶段（2）TCP响应分析通过不同操作系统对特定TCP报文的不同响应来区分操作系统。uFIN探测；u伪标记位探测；uTCP ISN取样；uDF位监视；uACK值；uTCP选项。漏洞扫描阶段三、漏洞检测有哪些漏洞？1、根据漏洞特点判断2、使用扫描工具生成漏洞报告目录目录漏洞漏洞扫描概述描概述实验与与练习小小结小小结典型漏洞典型漏洞扫描描技技术典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告包括哪些内容告包括哪些内容X-SCAN的使用Nessus的使用Nmap的使用目录目录漏洞漏洞扫描概述描概述实验与与练习小小结小小结典型漏洞典型漏洞扫描描技技术典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告的撰写告的撰写目录目录漏洞漏洞扫描概述描概述实验与与练习小小结小小结典型漏洞典型漏洞扫描描技技术典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告的撰写告的撰写目标主机检测目录目录漏洞漏洞扫描概述描概述实验与与练习小小结总结典型漏洞典型漏洞扫描描技技术典型漏典型漏扫工具介工具介绍及使用及使用漏洞漏洞扫描描报告的撰写告的撰写总结漏洞检测的基本原理是什么？漏洞检测的一般方法是什么？X-Scan、Nmap、Nessus如何使用？撰写扫描报告。谢谢观看