一、安全掃描技術(shù)簡(jiǎn)介

、端口掃描技術(shù)

三、漏洞掃描技術(shù)

段①fiA4中品

1.安全掃描技術(shù)概述

2.網(wǎng)絡(luò)安全掃描步驟和分類

全掃描技術(shù)概述

安

全安全掃描技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的重要技

掃

術(shù)之一，是一種基于Internet遠(yuǎn)程檢測(cè)目標(biāo)

描

技網(wǎng)絡(luò)或本地主機(jī)安全性脆弱點(diǎn)的技術(shù)，是為

術(shù)

使系統(tǒng)管理員能夠及時(shí)了解系統(tǒng)中存在的安

簡(jiǎn)

介全漏洞，并采取相應(yīng)防范措施，從而降低系

統(tǒng)的安全風(fēng)險(xiǎn)而發(fā)展起來(lái)的一■種安全技術(shù)。

次毛全掃描技術(shù)概述

安

全

掃利用安全掃描技術(shù)，可以對(duì)局域網(wǎng)絡(luò)、

描

技Web站點(diǎn)、主機(jī)操作系統(tǒng)、系統(tǒng)服務(wù)以

術(shù)

及防火墻系統(tǒng)的安全漏洞進(jìn)行掃描。安

簡(jiǎn)

介全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互

相配合，能夠有效提高網(wǎng)絡(luò)的安全性。

安

全

掃

描

技

術(shù)

簡(jiǎn)

介

L安全掃描技術(shù)概述

2.網(wǎng)絡(luò)安全掃描步驟和分類

第一.疊

憫絡(luò)安全掃描步驟和分莢

安一次完整的網(wǎng)絡(luò)安全掃描分為3個(gè)階段：

全

(1)第1階段：發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò)。

掃

第階段：發(fā)現(xiàn)目標(biāo)后進(jìn)一步搜集目標(biāo)信息，包

描(2)2

技括操作系統(tǒng)類型、運(yùn)行的服務(wù)以及服務(wù)軟件的版本等。如

術(shù)果目標(biāo)是一個(gè)網(wǎng)絡(luò)，還可以進(jìn)一步發(fā)現(xiàn)該網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、

簡(jiǎn)路由設(shè)備以及各主機(jī)的信息。

介

(3)第3階段：根據(jù)搜集到的信息判斷或者進(jìn)一步測(cè)

試系統(tǒng)是否存在安全漏洞。

第二掌條

絡(luò)安全掃描步驟和分類

安

全網(wǎng)絡(luò)安全掃描技術(shù)包括PING掃射(ping

掃

sweep)、操作系統(tǒng)探測(cè)(operatingsystem

描

技identification)＞如何探測(cè)訪問(wèn)控制規(guī)則

術(shù)(firewalking)、端口掃描(portscan)以

簡(jiǎn)

介及漏洞掃描(vulnerabilityscan)等。這些

技術(shù)在網(wǎng)絡(luò)安全掃描的3個(gè)階段中各有體現(xiàn)。

一、安全掃描技術(shù)簡(jiǎn)介

、端口掃描技術(shù)

三、漏洞掃描技術(shù)

第一節(jié)2翻耦粒術(shù)

二

端通過(guò)端口掃描，可以得到許多有用

口

的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。它

掃

描使系統(tǒng)用戶了解系統(tǒng)目前向外界提供了

技

術(shù)哪些服務(wù)，從而為系統(tǒng)用戶管理網(wǎng)絡(luò)提

供了一種手段。

1.端口掃描技術(shù)的原理

2.各類端口掃描技術(shù)

—笫

/~匕魏口掃描技術(shù)的原理

二

端端口掃描向目標(biāo)主機(jī)的TCP/IP服務(wù)端口發(fā)送

口探測(cè)數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過(guò)分析

掃

響應(yīng)來(lái)判斷服務(wù)端口是打開(kāi)還是關(guān)閉，就可以得

描

技知端口提供的服務(wù)或信息。端口掃描也可以通過(guò)

術(shù)捕獲本地主機(jī)或服務(wù)器的流入流出IP數(shù)據(jù)包來(lái)監(jiān)

視本地主機(jī)的運(yùn)行情況，它僅能對(duì)接收到的數(shù)據(jù)

進(jìn)行分析，幫助我們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在的

弱點(diǎn)，而不會(huì)提供進(jìn)入一個(gè)系統(tǒng)的詳細(xì)步驟。

1.端口掃描技術(shù)的原理

2.各類端口掃描技術(shù)

超尉HA4年品

宏告類端口掃描技術(shù)

二

端

口

掃端口掃描主要有：

描

技經(jīng)典的掃描器（全連接）

術(shù)SYN（半連接）掃描器

/~算客類端口掃描技術(shù)

二

端全連接掃描有TCPconnect()掃描和TCP反

口向ident掃描等。

掃

TCPconnect()掃描的實(shí)現(xiàn)原理如下所述：

描

技掃描主機(jī)通過(guò)TCP/IP協(xié)議的三次握手與目標(biāo)

術(shù)主機(jī)的指定端口建立一次完整的連接。連接由系

統(tǒng)調(diào)用connect開(kāi)始。如果端口開(kāi)放，則連接將建

立成功；否則，若返回-1則表示端口關(guān)閉，建立

連接不成功。

超尉HA4年品

第二蓊賽有

W類端口掃描技術(shù)

二

端

口

掃端口掃描主要有：

描

技經(jīng)典的掃描器（全連接）

術(shù)SYN（半連接）掃描器

—類端口掃描技術(shù)

二

,若端口掃描沒(méi)有完成一個(gè)完整的TCP連接,

端

在掃描主機(jī)和目標(biāo)主機(jī)的某指定端口建立連

口

掃接時(shí)候只完成了前兩次握手，在第三步時(shí)，

描掃描主機(jī)中斷了本次連接，使連接沒(méi)有完全

技

術(shù)建立起來(lái)，這樣的端口掃描稱為半連接掃描，

也稱為間接掃描?，F(xiàn)有的半連接掃描有

TCPSYN掃描和IPID頭dumb掃描等。

一、安全掃描技術(shù)簡(jiǎn)介

二、端口掃描技術(shù)

三、漏洞掃描技術(shù)

1.漏洞掃描技術(shù)的原理

2.漏洞掃描技術(shù)的分類和

實(shí)現(xiàn)方法

—篇洞掃描技術(shù)的原理

三

漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是

漏

否存在漏洞：

洞

掃(1)在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端

描口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)

技提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿足匹配條件的漏

術(shù)洞存在；-

(2)通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)

行攻擊性的安全漏洞掃描。若模擬攻擊成功，則表明目

標(biāo)主機(jī)系統(tǒng)存在安全漏洞o

1.漏洞掃描技術(shù)的原理

2.漏洞掃描技術(shù)的分類和

實(shí)現(xiàn)方法

整&什AM用捻

’2.漏洞掃描技術(shù)的分類和實(shí)現(xiàn)方法

三

漏

洞基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，漏洞掃描

掃

描大體包括CGI漏洞掃描、POP3漏洞

技

術(shù)掃描、FTP漏洞掃描、SSH漏洞掃描、

HTTP漏洞掃描等。

金&什禽才用捻

第二,mu，

入侵檢測(cè)技術(shù)也叫網(wǎng)絡(luò)實(shí)時(shí)監(jiān)

控技術(shù)，是指通過(guò)硬件或軟件對(duì)網(wǎng)

絡(luò)上的數(shù)據(jù)流進(jìn)行實(shí)時(shí)檢查，并與

系統(tǒng)中的入侵特征數(shù)據(jù)庫(kù)進(jìn)行比較,

一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根

據(jù)用戶所定義的動(dòng)作做出反應(yīng)。

1心什仃幅

第二,mu，

入侵檢測(cè)是對(duì)入侵行為的發(fā)覺(jué)。它通過(guò)

入對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)

侵

檢收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或

測(cè)［系統(tǒng)中是否有違反安全策略的行為和被攻擊

的；

的跡象。入侵檢測(cè)的軟件與硬件的組合便是

概\

念入侵檢測(cè)系統(tǒng)（IDS-intrusiondetection

system）。

第二,muR

入侵檢測(cè)一般分為3個(gè)步驟，

依次為信息收集、數(shù)據(jù)分析、響

應(yīng)（被動(dòng)響應(yīng)和主動(dòng)響應(yīng)）。

嫌&4仃昵第二,mu，

Llii收集

入/內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活

侵/

檢動(dòng)的狀態(tài)和行為。

測(cè)I入侵檢測(cè)利用的信息一般來(lái)自以下四個(gè)方面:

2⑴系統(tǒng)和網(wǎng)絡(luò)日志文件

X(2)目錄和文件中的不期望的改變

芯(3)程序執(zhí)行中的不期望行為

(4)物理形式的入侵信息

1心什仃幅第二,mut

數(shù)據(jù)分析

入

侵?jǐn)?shù)據(jù)分析是入侵檢測(cè)的核心，一般通過(guò)

檢

測(cè)三種技術(shù)手段進(jìn)行分析：模式匹配，統(tǒng)計(jì)分

的析和完整性分析。其中前兩種方法用于實(shí)時(shí)

概

念的入侵檢測(cè)，而完整性分析則用于事后分析。

第二,m”

主動(dòng)響應(yīng)和被動(dòng)響應(yīng)

入入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)入侵后會(huì)及時(shí)作出響應(yīng)，包括切斷

侵

網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。響應(yīng)一般分主動(dòng)響應(yīng)（阻

檢

測(cè)［止攻擊或影響進(jìn)而改變攻擊的進(jìn)程）和被動(dòng)響應(yīng)（報(bào)告和

的\記錄所檢測(cè)出的問(wèn)題）兩種類型。主動(dòng)響應(yīng)由用戶驅(qū)動(dòng)或

概系統(tǒng)本身自動(dòng)執(zhí)行，可對(duì)入侵者采取行動(dòng)（如斷開(kāi)連接）、

念修正系統(tǒng)環(huán)境或收集有用信息；被動(dòng)響應(yīng)則包括告警和通

知、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。

二

入

侵

檢

測(cè)

系

統(tǒng)

技

術(shù)

及

分

類

第二,muR

入

侵1.入侵檢測(cè)系統(tǒng)技術(shù)

檢

測(cè)

系入侵檢測(cè)系統(tǒng)所采用

統(tǒng)

技的技術(shù)可分為特征檢測(cè)與

術(shù)異常檢測(cè)兩種。

及

分

類

二

入上檢測(cè)系統(tǒng)技術(shù)

侵

檢

測(cè)特征檢測(cè)(signature-based

系

detection)又稱misuse

統(tǒng)

技detection,這一檢測(cè)假設(shè)入侵者

術(shù)活動(dòng)可以用一種模式來(lái)表示，系統(tǒng)

及的目標(biāo)是檢測(cè)主體活動(dòng)是否符合這

分

些模式。

類

第二,muR

二

入上檢測(cè)系統(tǒng)技術(shù)

侵

檢

測(cè)

系入侵檢測(cè)系統(tǒng)所采用的技術(shù)

統(tǒng)

可分為特征檢測(cè)與異常檢測(cè)兩種O

技

術(shù)

及

分

類

為"以乩第二'入侵檢

二

入入侵檢測(cè)藕技術(shù)

侵

檢/異常檢測(cè)(anomalydetection)的

測(cè)

/假設(shè)是入侵者活動(dòng)異常于正常主體的活動(dòng)。

系

統(tǒng)

根據(jù)這一理念建立主體正常活動(dòng)的“活動(dòng)

技

術(shù),簡(jiǎn)檔"，將當(dāng)前主體的活動(dòng)狀況與“活動(dòng)

及簡(jiǎn)檔”相比較，當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)

分

類為該活動(dòng)可能是“入侵”行為。

二

入

侵

檢

測(cè)

系

統(tǒng)

技

術(shù)

及

分

類

二

入叱入侵檢測(cè)系統(tǒng)的分類

侵

檢

測(cè)

系通常根據(jù)輸入的數(shù)據(jù)源分為2種

統(tǒng)