1、第17章 弱点检测技术的原理及应用,弱点的存在是病毒和黑客攻击成功的根源。因此检测和消除系统中存在的安全隐患成为安全研究的重要课题。系统的可靠性、健壮性和抗攻击性强弱都取决于系统本身是否存在安全弱点。,弱点检测技术,1、基于主机的弱点检测技术基于主机的弱点检测技术,通过检查本地系统中各种关键性文件的内容及其他属性,发现因配置不当引入的弱点。这种检测方法需要获得目标系统的各种配置信息、文件内容等,必须具有系统的访问权限。因而基于主机的弱点检测程序,必须与被检测系统在同一台主机上,并且只能进行单机检测。,2、基于网络的弱点检测技术,基于网络的弱点检测技术,通过检测目标的网络服务的访问或网络连接发现
2、系统弱点。既可以检测本地的网络服务,又可以检测远程主机提供的网络服务,因此可以对整个局域网上的所有主机进行检测。由于没有目标系统的访问权限,网络弱点检测也有自身的缺陷,即它只能获得有限的信息,主要是各种服务中的弱点。,弱点扫描器的系统结构、原理和分类,弱点扫描器的工作流程,扫描器类型,主机系统扫描器网络扫描器,主机弱点扫描器实例,主机系统扫描器,通过扫描查找本地主机的安全漏洞,这些漏洞经常是错误的文件权限配置和默认账号。典型的主机系统扫描器是COPS,用来检查UNIX系统的常见安全配置问题和系统缺陷。Tiger是一个给予shell语言脚本的弱点检测程序,主要用于UNIX系统的漏洞检测。,网络弱
3、点扫描器实例,网络弱点扫描器,通过检查可用的端口和网络服务,查找网络系统中的安全缺陷。SATAN是一个著名的网络扫描器,可以用于发现如下漏洞:文件传输协议漏洞网络信息服务口令漏洞远程shell访问漏洞Sendmail漏洞普通文件传输协议漏洞X服务器安全和访问控制漏洞,SAINT是一个给予SATAN的安全评估工具,其特点包括:透过防火墙扫描,随CERT&CIAC公告牌不断升级的安全检测,4中不同的安全等级和一个特点鲜明的HTML界面。Nessus是典型的网络扫描器,由客户端和服务器端两部分组成,支持即插即用的弱点检测脚本。,Nmap是一个流行的端口扫描程序,集成了TCP Connect,TCP
4、SYN,NULL,ICMP,UDP,OS识别等多种扫描技术,提供命令行和图形界面,可以运行在UNIX和Windows平台上。Ping扫描端口扫描UDP扫描操作系统识别,弱点数据库,无论对攻击者还是防御者,建立弱点数据库都是十分必要的。攻击者利用弱点数据库,可以更有效的实施攻击。防御者利用弱点数据库,可以及时补漏,堵塞攻击者的攻击途径。弱点数据库的用途:弱点扫描入侵检测入侵事件通报数据管理攻击模式所用的攻击资料。,弱点扫描,弱点扫描数据库全面搜索主机系统、网络系统、关键设备和关键服务的安全弱点,并描述造成安全漏洞的原因。Nessus是典型的用于弱点扫描的弱点数据库。,入侵检测,入侵检测弱点数据库描述入侵时间的特征,使基于无用的入侵检测系统可以检测出入侵行为。ArachNIDS是典型的用于入侵检测的弱点数据库。,入侵事件通报,这类弱点数据库提供入侵事件的基本资料,令使用者能立即掌握入侵时间的概况,知道应该如何应急。这类数据库主要描述入侵时间的起因,影响,防御的方法。这类弱点数据库最普遍,最著名的是CERT Advisory。,谢谢!,
