1、常用安全扫描工具,中国电信福建富士通信息软件有限公司 Fujian Fujitsu Communication Software Co., Ltd. (FFCS),2012年5月,内容提要,1.常见扫描工具,2.安全漏扫,3.前次总结,常见扫描工具,常见扫描工具,由于网络技术的飞速发展,网络规模迅猛增长和计算机系统日益复杂,导致新的系统漏洞层出不穷 由于系统管理员的疏忽或缺乏经验,导致旧有的漏洞依然存在 许多人出于好奇或别有用心,不停的窥视网上资源,为什么需要漏洞扫描,扫描目标主机识别其工作状态(开/关机) 识别目标主机端口的状态(监听/关闭) 识别目标主机系统及服务程序的类型和版本 根据已知
2、漏洞信息,分析系统脆弱点 生成扫描结果报告,漏洞扫描做什么,常见扫描工具,漏洞扫描,漏洞扫描原理通过对端口的扫描以及服务的探测,得到设备上安装的服务,并且通过发送请求的方式获取服务的版本信息,凭版本号就可获取很多漏洞信息尝试对系统进行攻击的方式,这个是最有效的发现漏洞的方式,通过设备对攻击包的响应获取漏洞信息被动监听,通过网络数据的分析来实现漏洞的发现,漏洞扫描实现方式漏洞库和规则库的比对插件的技术,常见扫描工具,设备存活扫描ICMP 探测 (ping):ICMP包的探测异常的IP包头 : 设备对异常的IP包有反馈错误信息 错误的数据分片 : 设备在超时时间内收不到更正信息,会返回超时信息 通
3、过超长的包探测内部路由器,设备操作系统探测主动协议栈指纹识别:TCP包的顺序,FIN识别,DF位识别,ACK序号识别被动协议栈指纹识别: 通过对网络包的分析,主要是TTL,窗口大小,DF,TOS,常见扫描工具,端口扫描 TCP Connect扫描与每个TCP端口进行三次握手通信, SYN扫描发送初始的SYN数据包给目标主机 NULL扫描将一个没有标志位的数据包发送给TCP端口 FIN扫描 (反向扫描)一个FIN的数据包被发送给目标主机的每个端口 ACK扫描ACK 扫描通常用来穿过防火墙的规则集 UDP扫描发送UDP包到端口,常见端口扫描nmap各类漏洞扫描器,常见扫描工具,服务识别 根据tel
4、net相关端口获取信息执行telnet host port,根据返回信息判断 根据对get的返回进行判断get的返回中存在相关的服务信息 服务指纹识别通对服务 中数据包的分析得出相关的信息,弱口令扫描外部探测,基于用户名和密码字典的探测内部分析: 通过对密码文件和密码的结合进行分析,内容提要,1.常见扫描工具,2.安全漏扫,3.前次总结,安全漏扫,漏洞扫描主要是对网络中设备存在的漏洞进行发现,从上面的扫描原理可以看出漏洞扫描同时也一种比较危险的行为,他有可能造成: 设备资源利用偏高 设备应用服务不可用 设备自身不可用 网络阻塞安全使用漏洞扫描 才能达到“取其利,避其害”的效果,介绍两款扫描器的
5、使用安全Nessus绿盟极光,Nessus安装,1. 从http:/www.nessus.org/download/index.php?product=nessus32-win下载最新的nessus软件。 2.注册,插件的升级 (需要直接连接外网才可升级), 用户的添加,Nessus扫描策略,扫描前必需根据扫描的设备范围制定扫描策略,Nessus扫描策略,Nessus扫描策略,“Network”组给出了基于被扫描目标网络的更好的控制扫描的选项,Nessus扫描策略,Ports Scanners组控制扫描中将会使用哪些端口扫描方法。,Nessus扫描策略,Performance组给出两个选项来控
6、制将会使用多少个扫描。 当配置的一个扫描对扫描时间和网络活动有重要影响, 这些选项将会非常有用。,Nessus扫描插件,扫描前必需根据扫描的设备范围制定扫描策略,Nessus任务建立,新建扫描,点击右下角Launch Scan开始扫描:,扫描目标可以是单个IP地址,如192.168.*.*,不同的IP地址用“,”隔开; 也可以是一个网段192.168.*.1-32,Nessus结果查看,Reports可以看到查看扫描报告和扫描进度:,绿盟极光插件管理,主要是进行插件模板的管理,绿盟极光扫描策略,扫描参数应该根据实际的情况进行调整,绿盟极光密码策略,根据实现的情况添加用户名和密码,例如系统的or
7、acle用户, 数据库的用户名等等,注意要点,正确的使用漏洞扫描器能减少网络中威胁和隐患的存在,而要正确的使用漏洞扫描器需要注意以下几点: 不能认为只有连接在互联网上的机器才需要扫描。漏洞扫描也应当包含对内部网络中没有与互联网连接的系统进行审计,目的是检查和评估欺诈性软件威胁,以及恶意的雇员造成的威胁 漏洞扫描的频度问题。网络是一个动态变化的实体,特别是一些程序经常需要更新,一些新的软件可能经常需要安装到服务器上,这可能会给造成新的安全威胁。新的漏洞和程序缺陷几乎每天都在被发现。所以定期更新相关的漏洞库和对设备的扫描是必需的,这个可以在目前的安全管理平台来实现。 漏洞扫描的策略问题。漏洞扫描同
8、时也一种比较危险的行为,在进行的同时需要对漏洞扫描的策略进行定制,达到安全扫描目的,扫描策略总结,扫描自身也是一个危险的行为,可能会导致一些异常的出现,而为了减少这些异常的发生,我们可以做: 减少一次扫描的设备数(尽量不使用一个整网段的扫描) 根据设备的负载调整扫描参数(主要是连接数) 关闭不常见的端口扫描策略 (比如ping 、WMI、SSH) 同一次扫描中用同一类型的设备(减少次扫描中的策略数) 根据扫描的设备类型和设备上加载的服务选择相关的插件(减少不同系统间插件冲突带来的安全隐患),扫描策略总结,扫描策略总结,扫描策略总结,扫描策略总结,漏洞确认机制,但漏洞扫描的结果也一定百分之百的准
9、确,而且不同的扫描器存在扫描结果的差异,这些情况需要人工干预对漏洞扫描结果进行判断,判断流程:,确认服务运行状态 (service * status),漏洞 不存在,确认操作系统,确认端口开放 (netstat),确认版本信息 (* -v),确认配置 (vi *.conf),漏 洞 描 述 不 同,内容提要,1.常见扫描工具,2.安全漏扫,3.前次总结,前次总结,一共发现高危漏洞244个,中危险905个,这些漏洞中补丁或版本过低或者配置疏忽,修补建议 定期对设备上运行的提供对外服务的服务进行补丁加固 关闭不常见的端口和服务,比如sendmail 定期对设备的安全基线进行核查,前次总结,问题描述
10、:扫描过程中泉州局方反映办公网段部分服务出现异常,扫描结束时发现办公网段部分服务异常,七台服务器主机出现问题: 四台为HP-UNIX系统,重启部分进程后仍然无法提供正常服务,重启主机后恢复。三台为WINDOWS 2003系统,重启后恢复。现场判断疑似Nessus扫描机制问题,导致主机出现遭受DDOS攻击的现象,造成连接故障。,泉州巡检宕机事件分析,结论:本次扫描,unix或者hp unix主机上有较多的服务,且多为私有程序的服务,如综合告警系统,可能程序上面存在一些bug,导致出现类似的现象。windows系统可以通过防火墙的开启来屏蔽这一威胁,但是unix主机一般不会开启防火墙,如何避免同样问题的发生,还需要后续研究解决。但是针对于本次的情况,需要对nessus扫描的参数进行修改,以防止类似现象发生,无法保证网段中所有服务器防火墙都开启,而如果面对unix类型服务器需要如何调整策略进行扫描都需要进行研究和测试。,谢谢!,
