第10章安全扫描技术
网络安全习题及答案,DOC
第5章1判断题1-1TCP/IP是ARPAnet中最早使用的通信协议。
(×)1-2TCP/IP最早应用在ARPAnet中。
(√)1-3由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成1-4ARP收到的IP1-5ARP1-6DHCP(×)1-7TCP和1-8在使用1-9DNS IP地址。
(×)1-10在DNS客户2填空题2-1在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。
2-2用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。
2-3TCPSYN泛洪攻击属于一种典型的DOS攻击。
2-4DNS同时调用了TCP和UDP的53端口,其中UTP53端口用于DNS客户端与DNS 服务器端的通信,而TCP53端口用于DNS区域之间的数据复制。
3选择题3-1下面关于IP协议的描述,不正确的是(B)A.提供一种“尽力而为”的服务B.是一种面向连接的可靠的服务C.是TCP/IP体系网络层唯一的一个协议D.由于IP3-2A.是通过C.ARP3-3ARPA.C.3-4在A.ARP–C.ARP–3-5A.A.防止ARP欺骗B.防止DHCP欺骗C.进行端口与MAC地址的绑定D.提供基于端口的用户认证3-7TCPSYN泛洪攻击的原理是利用了(A)A.TCP三次握手过程B.TCP面向流的工作机制C.TCP数据传输中的窗口技术D.TCP连接终止时的FIN报文3-8在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行(D)A.ARP–aB.ipconfig/allstat–nabD.ne-ab3-9DNS的功能是(B)A.建立应用进程与端口之间的对应关系B.建立IP地址与域名之间的对应关系C.建立IPD.3-10A.ARPA.1判断题1-11-21-31-41-5防病毒墙可以部署在局域网的出口处,防止病毒进入局域网。
网络安全(第一章)
“Flash” Threats
“Warhol” Threats
Blended Threats
几秒钟
几分钟 几小时
几天 几周/几个月
e-mail Worms
Macro Viruses File Viruses
90年代初 90年代中 90年代末
2000
2003 2004
时间
两种安全防护模型
① 响应式安全防护模型:基于特定威胁的特征,目前绝大多数安全产品均
“纵深防御策略”DiD(Defense-in-Depth Strategy)。
在信息保障的概念下,信息安全保障的PDRR模型的内涵 已经超出了传统的信息安全保密,而是保护(Protection)、 检测(Detection)、响应(Reaction)和恢复(Restore)的有 机结合。 信息保障阶段不仅包含安全防护的概念,更重要的是增加 了主动和积极的防御观念。
通信与网络等信息技术的发展而不断发展的。
单机系统的信息保密阶段 网络信息安全阶段 信息保障阶段
单机系统的信息保密阶段
信息保密技术的研究成果:
① 发展各种密码算法及其应用:
DES(数据加密标准)、RSA(公开密钥体制)、ECC (椭圆曲线离散对数密码体制)等。 ② 计算机信息系统安全模型和安全评价准则: 访问监视器模型、多级安全模型等;TCSEC(可信计
存储空间资源,使服务器崩溃或资源耗尽无法对外继续提供
服务。 拒绝服务攻击(DoS,Denial of Service)是典型的阻塞类
攻击,它是一类个人或多人利用Internet协议组的某些工具,
拒绝合法用户对目标系统(如服务器)和信息的合法访问的 攻击。
常见的方法:TCP SYN洪泛攻击、Land攻击、Smurf攻击、
信息安全简答题
信息安^简笞题第一章1.简述信息安全的含义。
简述计算机网络安全的定义。
答:从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。
2.目前互联网上各种严重的信息安全问题大致是由哪几个方面的问题引起的?3.从系统上说,信息要全主要包括哪几个方面的问题?4.数据安全的机密性、完整性、认证性、不可否认性分别指什么?5.什么是行为安全?行为的秘密性、完整性、可控性分别指什么?6.简述信息安全所包含的技术。
答:信息加密技术,防火墙技术,入侵检测技术,系统容灾技术7.谈谈你对信息加密技术的认识。
答:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。
数据加密技术主要分为数据传输加密和数据存储加密。
数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。
8.网络控制技术主要包括哪几项技术?答:(1)身份验证技术(2)访问控制(3)防火墙技术(4)数据加密(5)一次性口令(6)主机认证(7)网际协议安全(8)安全服务器网络(9)网络安全漏洞扫描技术(10)网络反病毒技术(11)安全审计9.防火墙可分为外部防火端和内部防火墙,它们分别有什么作用?10.讨论信息安全立法现状。
第三章1.在WindowsNT安全模模型中,最重要的三个组件是什么?它们的任务分别是什么?2.简述LANManager 口令和WindowsNT 口令,并说明它们之间的区别。
3.在WindowsNT中,对象可被设定的属性有哪些?4.注册表是什么?注册表的数据结构由哪几个部分组成?5. WindowsNT交全子系统由哪5个关键部分组成?6.如何操作可以保护注册表的安全?7.在Windows2000安装完成之后,哪些服务是可以关闭的?8.如何对Windows系统进行网络安全管理?9.作为Windows2000新增的安全机制之一的加密文件系统(EFS)具有什么特性?10.在Windows2000中安全审核是指什么?应该被审核的最普通的事件类型包括哪些?11.如何在Windows2000中备份文件、还原文件?12. Windows2000提供哪些选项可帮助识别计算机故障并进行恢复?13.简述Windows7中增加或改进的十大安全功能。
(完整版)信息安全系统在线作业
您的本次作业分数为:89分单选题1.【第11、12章】通常为保证信息处理对象的认证性采用的手段是(____)。
• A 信息加密和解密• B 信息隐匿• C 数字签名和身份认证技术• D 数字水印•单选题2.【第11、12章】计算机病毒最重要的特征是(____)。
• A 隐蔽性• B 传染性• C 潜伏性• D 表现性•单选题3.【第11、12章】不能防止计算机感染病毒的措施是(____)。
• A 定时备份重要文件• B 经常更新操作系统• C 除非确切知道附件内容,否则不要打开电子邮件附件• D 重要部门的计算机尽量专机专用,与外界隔绝•单选题4.【第11、12章】某病毒利用RPCDCOM缓冲区溢出漏洞进行传播,病毒运行后,在%System%文件夹下生成自身的拷贝nvchip4、exe,添加注册表项,使得自身能够在系统启动时自动运行。
通过以上描述可以判断这种病毒的类型为(____)。
• A 文件型病毒• B 宏病毒• C 网络蠕虫病毒• D 特洛伊木马病毒•单选题5.【第11、12章】计算机病毒的实时监控属于(____)类的技术措施。
• A 保护• B 检测• C 响应• D 恢复•单选题6.【第11、12章】安全扫描可以(____)。
• A 弥补由于认证机制薄弱带来的问题• B 弥补由于协议本身而产生的问题• C 弥补防火墙对内网安全威胁检测不足的问题• D 扫描检测所有的数据包攻击,分析所有的数据流•单选题7.【第11、12章】在目前的信息网络中,(____)病毒是最主要的病毒类型。
• A 引导型• B 文件型• C 网络蠕虫• D 木马型•单选题8.【第11、12章】传统的文件型病毒以计算机操作系统作为攻击对象,而现在越来越多的网络蠕虫病毒将攻击范围扩大到了(____)等重要网络资源。
• A 网络带宽• B 数据包• C 防火墙• D LINUX•单选题9.【第11、12章】相对于现有杀毒软件在终端系统中提供保护不同,(____)在内外网络边界处提供更加主动和积极的病毒保护。
第10章 计算机信息系统安全 习题与答案
第10章计算机信息系统安全习题(P257-258)一、复习题1、计算机网络系统主要面临哪些威胁?答:由于黑客的攻击、管理的欠缺、网络的缺陷、软件的漏洞或“后门”,还有网络内部的威胁(比如用户的误操作,资源滥用和恶意行为使得再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的滥用做出反应)等安全问题的根源。
网络信息安全主要面临以下威胁。
非授权访问:非授权访问主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
非授权访问的威胁涉及到受影响的用户数量和可能被泄露的信息。
入侵是一件很难办的事,它将动摇人的信心。
而入侵者往往将目标对准政府部门或学术组织。
信息泄漏或丢失:指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏,信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
具有严格分类的信息系统不应该直接连接Internet。
破坏数据完整性:以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:拒绝服务攻击不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒,通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
2、简述计算机网络信息系统的安全服务与安全机制。
答:通常将为加强网络信息系统安全性及对抗安全攻击而采取的一系列措施称为安全服务。
ISO7498-2中定义的5类安全服务是:数据完整性,鉴别,数据保密,访问控制,不可否认,这5类安全服务同面的安全目标的5个方面基本对应。
安全机制是实现安全服务的技术手段,表现为操作系统、软硬件功能部件、管理程序以及它们的任意组合。
信息系统的安全是一个系统的概念,为了保障整个系统的安全可以采用多种机制。
选择填空
【填空题】1. 突破网络系统的第一步是口令破解。
2. 计算机网络按威胁对象大体可分为两种,一是对网络中信息的威胁,二是对网络中设备的威胁。
3.在用户鉴别中,口令属于用户已知的事4. 属于网络安全应具有特征的是保密性、完整性、可用性、可控性、一致性。
5.信息保障的核心思想是对系统或者数据的4个方面的要求:保护、检测、反应和恢复。
6.在美国安全橘皮书中,B2级又称之为结构保护级,它要求计算机系统中所有对象都要加上标签。
7.从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
8. 网络层的主要功能是完成网络中主机间的报文传输,实现从源到端的路由。
9.应用 net user 指令可查看计算机上的用户列表。
10. 句柄是一个指针,可以控制指向的对象。
11.使用多线程有两大优点,提高CPU效率和调整工作进度。
【选择题】1.狭义上说的信息安全,只是从 D 的角度介绍信息安全的研究内容。
A 心理学B 社会科学C 工程学D 自然科学2.信息安全从总体上可以分为5个层次, A 是信息安全研究的关键点。
A 密码技术B 安全协议C 网络安全D 系统安全3.信息安全的目标不包括 C 。
A 机密性B 网址性C 可靠性D 可用性4.我国颁布的《计算机信息系统安全保护等级划分准则》,将计算机安全保护划分为 C 个级别。
A 3B 4C 5D 65.通过 A 协议,主机和路由器可以报告并交换相关的状态信息。
A IPB TCPC UDPD ICMP6. C 是应用程序的执行实例,是程序的动态描述。
A 线程B 程序C 进程D堆栈7.凡是基于网络应用的程序都离不开 A 。
A SocketB WinsockC 注册表D MFC编程【填空题】1常用的拒绝服务攻击手段主要有服务端口攻击、电子邮件轰炸_和分布式拒绝服务攻击等。
2.常用的攻击目的有_破坏型_和入侵型两种。
3.远程攻击的主要手段有缓冲区溢出攻击、口令破解、网络侦听、拒绝服务攻击、欺骗攻击_等。
网络安全课后答案
第一章网络安全概述一、问答题1.何为计算机网络安全?网络安全有哪两方面的含义?计算机网络安全是指利用各种网络管理,控制和技术措施,使网络系统的硬件,软件及其系统中的数据资源受到保护,不因一些不利因素影响而使这些资源遭到破坏,更改,泄露,保证网络系统连续,可靠,安全地运行。
网络安全包括信息系统的安全运行和系统信息的安全保护两方面。
信息系统的安全运行是信息系统提供有效服务(即可用性)的前提,系统信息的安全保护主要是确保数据信息的机密性和完整性。
2.网络安全的目标有哪几个?网络安全策略有哪些?网络安全的目标主要表现在系统的可用性、可靠性、机密性、完整性、不可依赖性及不可控性等方面。
网络安全策略有:物理安全策略,访问控制策略,信息加密策略,安全管理策略。
3.何为风险评估?网络风险评估的项目和可解决的问题有哪些?风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
作为风险管理的祭出,风险评估是确定信息安全需求的一个重要途径,属于组织信息安全管理体系规划的过程。
网络安全评估主要有以下项目:安全策略评估,网络物理安全评估,网络隔离的安全性评估,系统配置的安全性评估,网络防护能力评估,网络服务的安全性评估,网络应用系统的安全性评估,病毒防护系统的安全性评估,数据备份的安全性评估。
可解决的问题有:防火墙配置不当的外部网络拓扑结构,路由器过滤规则的设置不当,弱认证机制,配置不当或易受攻击的电子邮件和DNS服务器,潜在的网络层Web服务器漏洞,配置不当的数据库服务器,易受攻击的FTP服务器。
4.什么是网络系统漏洞?网络漏洞有哪些类型?从广义上讲,漏洞是在硬件、软件、协议的具体实现或系统安全策略以及人为因素上存在的缺陷,从而可以使攻击者能够在未经系统合法用户授权的情况下访问或破坏系统。
网络漏洞主要分为操作系统漏洞、网络协议漏洞、数据库漏洞和网络服务漏洞等。
5.网络安全的威胁主要有哪几种?物理威胁,操作系统缺陷,网络协议缺陷,体系结构缺陷,黑客程序,计算机病毒。
网络安全习题及答案
第5章1判断题1-1 TCP/IP是ARPAnet中最早使用的通信协议。
(×)1-2 TCP/IP最早应用在ARPAnet中。
(√)1-3 由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以TCP是面向字节流的可靠的传输方式。
(√)1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系,而不会保存以广播形式接收到的IP和MAC的对应关系。
(×)1-5 ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。
(×)1-6 DHCP服务器只能给客户端提供IP地址和网关地址,而不能提供DNS的IP地址。
(×)1-7 TCP和UDP一样都是面向字节流的数据传输方式。
(×)1-8 在使用DNS的网络中,只能使用域名来访问网络,而不能使用IP地址。
(×)1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录,将域名指向错误的IP地址。
(×)1-10 在DNSSEC系统中,只要在DNS服务器之间进行安全认证,而不需要在DNS客户端进行安全认证。
(×)2 填空题2-1 在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。
2-2 用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。
2-3 TCP SYN泛洪攻击属于一种典型的DOS 攻击。
2-4 DNS同时调用了TCP和UDP的53端口,其中UTP 53 端口用于DNS客户端与DNS服务器端的通信,而TCP 53 端口用于DNS区域之间的数据复制。
3 选择题3-1 下面关于IP协议的描述,不正确的是(B )A. 提供一种“尽力而为”的服务B. 是一种面向连接的可靠的服务C. 是TCP/IP体系网络层唯一的一个协议D. 由于IP协议的PDU称为分组,所以IP网络也称为分组网络3-2 下面关于ARP工作原理的描述,不正确的是(C )A. 是通过IP地址查询对应的MAC地址B. ARP缓存中的数据是动态更新的C. ARP请求报文可以跨网段传输D. ARPA是通过AMC查询对应的IP地址3-3 ARP欺骗的实质是(A )A. 提供虚拟的MAC与IP地址的组合B. 让其他计算机知道自己的存在C. 窃取用户在网络中传输的数据D. 扰乱网络的正常运行3-4 在Windows操作系统中,对网关IP和MAC地址进行绑定的操作为(C )A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ffB. ARP –d 192.168.0.1 00-0a-03-aa-5d-ffC. ARP –s 192.168.0.1 00-0a-03-aa-5d-ffD. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff3-5 无法提供DHCP服务的设备可能是( C )A. 无线路由器B. 交换机C. 集线器D. 运行Windows 2008操作系统的计算机3-6 DHCP Snooping的功能是(B )A. 防止ARP欺骗B. 防止DHCP欺骗C. 进行端口与MAC地址的绑定D. 提供基于端口的用户认证3-7 TCP SYN泛洪攻击的原理是利用了(A )A. TCP三次握手过程B. TCP面向流的工作机制C. TCP数据传输中的窗口技术D. TCP连接终止时的FIN报文3-8 在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行( D )A. ARP –aB. ipconfig/allC. netstat –nabD. ne -ab3-9 DNS的功能是( B )A. 建立应用进程与端口之间的对应关系B. 建立IP地址与域名之间的对应关系C. 建立IP地址与MAC地址之间的对应关系D. 建立设备端口与MAC地址之间的对应关系3-10 当用户通过域名访问某一合法网站时,打开的却是一个不健康的网站,发生该现象的原因可能是( D )A. ARP欺骗B. DHCP欺骗C. TCP SYN攻击D. DNS缓存中毒3-11 DNSSEC中并未采用( C )A.数字签名技术B. 公钥加密技术C. 对称加密技术D. 报文摘要技术第6章1判断题1-1 计算机病毒只会破坏计算机的操作系统,而对其他网络设备不起作用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息收集型攻击 信息收集型攻击并不直接对目标系统本身造成危害,它是为进一步
的入侵提供必须的信息,这种攻击手段大部分在黑客入侵三部曲中的第 一步—窥探设施时使用。
第10章安全扫描技术
假消息攻击 攻击者用配备不正确的消息来欺骗目标系统,以达到攻击的目的
第10章安全扫描技术
安全扫描器的类型
安全扫描其主要有两种类型: (1)本地扫描器或系统扫描器:扫描 器和待检系统运行于统一结点,进行自 身检测。 (2)远程扫描器或网络扫描器:扫描 器和待检查系统运行于不同结点,通过 网络远程探测目标结点,寻找安全漏洞。
第10章安全扫描技术
(3)网络扫描器通过网络来测试主机安全
顾名思义也就是对环境的了解,目的是要了解目标采用的是什么操作系统 ,哪些信息是公开的,有何价值等问题,这些问题的答案对入侵者以后将 要发动的攻击起着至关重要的作用。 攻击系统 在窥探设施的工作完成后,入侵者将根据得到的信息对系统发动攻击。攻 击系统分为对操作系统的攻击、针对应用软件的攻击和针对网络的攻击三 个层次。 掩盖踪迹 入侵者会千方百计的避免自己被检测出来。
(1)带宽耗用(bandwidth-consumption):其本质是攻击者消 耗掉通达某个网络的所有可用带宽。
(2)资源耗竭(resource-starvation):一般地说,它涉及诸如 CPU利用率、内存、文件系统限额和系统进程总数之类系统资源的消耗 。
(3)编程缺陷(programming flaw):是应用程序、操作系统或 嵌入式CPU在处理异常文件上的失败。
n (6) 输出报告 将检测结果整理出清单报 告给用户,许多扫描器也会同时提出安全 漏洞解决方案
n (7) 用户自定义接口 一些扫描器允许用户 自己添加扫描规则,并为用户提供一个便 利的接口,比如俄罗斯SSS的Base SDK
第10章安全扫描技术
系统扫描如何提高系统安全性
n 安全扫描器可以通过两种途径提高系统安 全性。
✓是否允许建立guest账户 ✓guest账户有无口令 ✓口令构造和过时原则 ✓弱口令选择 ✓登陆失败临界值 ✓注册表权限许可 ✓允许远程注册访问 ✓独立的注册设置 ✓对系统文件和目录不正确的分配许可权 ✓非NT缺省配置的未知服务 ✓运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等 ✓带有许可访问控制设置的共享,可能给远程用户全部访问权 ✓其他
(3)Web欺骗:由于Internet的开放性,任何用户都可以建立 自己的Web站点,同时并不是每个用户都了解Web的运行规则。常见 的Web欺骗的形式有:使用相似的域名;改写 URL、Web会话挟持 等。
(4)DNS欺骗:修改上一级DNS服务记录,重定向DSN请求, 使受害者获得不正确的IP地址
第10章安全扫描技术
第10章安全扫描技术
攻击的分类方法是多种多样的。这里根据入侵者使用的 方式和手段,将攻击进行分类。
口令攻击
抵抗入侵者的第一道防线是口令系统。几乎所有的多用 户系统都要求用户不但提供一个名字或标识符(ID),而且 要提供一个口令。口令用来鉴别一个注册系统的个人ID。在 实际系统中,入侵者总是试图通过猜测或获取口令文件等方 式来获得系统认证的口令,从而进入系统。入侵者登陆后, 便可以查找系统的其他安全漏洞,来得到进一步的特权。为 了避免入侵者轻易的猜测出口令,用户应避免使用不安全的 口令。
第10章安全扫描技术
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓系统完整性检查 ✓关键系统文件变化检测 ✓用户账户变化检测 ✓黑客入侵标记检测 ✓未知程序版本 ✓不常见文件名 ✓可疑设备文件 ✓未经授权服务 ✓弱口令选择检测 ✓有安全漏洞程序版本检测 ✓标记可被攻击程序 ✓报告需要安装的安全补丁 ✓检查系统配置安全性 ✓全局信任文件
安全扫描技术概论
n 安全扫描技术是指手工的或使用指定的软 件工具----安全扫描器,对系统脆弱点进行 评估,寻找对系统扫成损害的安全漏洞。
n 扫描可以分为系统扫描和网络扫描两个方 面,系统扫描侧重主机系统的平台安全性 以及基于此平台的系统安全性,而网络扫 描则侧重于系统提供的网络应用和服务以 及相关的协议分析。
第10章安全扫描技术
10.1.2 安全威胁分析
计算机面临的安全威胁有来自计算机系统外部的,也有来 自计算机系统内部的。
来自计算机系统外部的威胁主要有: 自然灾害、意外事故; 计算机病毒 人的入侵或侵扰,比如非法访问、拒绝服务、
非法连接等; 内部泄密 外部泄密 信息丢失 电子谍报,比如信息流量分析、信息窃取等; 信息战;
有时候即使好的口令也是不够的,尤其当口令需要穿过 不安全的网络时将面临极大的危险。很多的网络协议中是以 明文的形式传输数据,如果攻击者监听网络中传送的数据包 ,就可以得到口令。在这种情况下,一次性口令是有效的解 决方法。
第10章安全扫描技术
拒绝服务攻击 拒绝服务站DOS (Denial of Services)使得目标系统无法提供正
第10章安全扫描技术
(4).系统扫描器用于扫描本地主机,查找安全漏洞,
查杀病毒,木马,蠕虫等危害系统安全的恶意程序, 此类非本文重点,因此不再祥细分析
(5).另外还有一种相对少见的数据库扫描器,
比如ISS公司的 Database Scanner,工作机 制类似于网络扫描器 ,主要用于检测数据库 系统的安全漏洞及各种隐患。
n 一是提前警告存在的漏洞,从而预防入侵 和误用
n 二是检查系统中由于受到入侵或操作失误 而造成的新漏洞。
第10章安全扫描技术
本地扫描器
本地扫描器分析文件的内容,查找可能存在的配 置问题。由于本地扫描器实际上是运行于目标结 点上的进程,具有以下几个特点:
可以在系统上任意创建进程。为了运行某些程序, 检测缓冲区溢出攻击,要求扫描器必须做到这一点。 可以检查到安全补丁一级,以确保系统安装了最 新的安全解决补丁。 可以通过在本地查看系统配置文件,检查系统的 配置错误。
第10章安全扫描技术
扫描技术工具
n 信息收集是入侵及安全状况分析的基础,传统地手工收集 信息耗时费力,于是扫描工具出现了,它能依照程序设定 自动探测及发掘规则内的漏洞,是探测系统缺陷的安全工 具。
第10章安全扫描技术
扫描器主要功能
n (1) 端口及服务检测 检测 目标主机上开 放端口及运行的服务,并提示安全隐患的 可能存在与否
第10章安全扫描技术
计算机系统内部存在的安全威胁主要有: 操作系统本身所存在的一些缺陷; 数据库管理系统安全的脆弱性; 管理员缺少安全方面的知识,缺少安全管理的技术规范,缺少定期的安
全测试与检查; 网络协议中的缺陷,例如TCP/IP协议的安全问题; 应用系统缺陷,等等; 在此,我们关注的重点是来自计算机系统外部的黑客的攻击和入侵。
第10章安全扫描技术
(2)实施入侵的人员 伪装者:未经授权使用计算机者或者绕开系统访问机制获得合法用户账户
权限者。 违法者:未经授权访问数据库、程序或资源的合法用户,或者是具有访问
权限错误使用其权利的用户。 秘密用户:拥有账户管理权限者,利用这种机制来逃避审计和访问数据库
,或者禁止收集审计数据的用户。 (3)入侵过程中的各个阶段和各个阶段的不同特点 窥探设施
第10章安全扫描技术
本地扫描器
对Unix系统,需要进行以下项目的检查:
✓邮件服务器配置 ✓检查用户环境变量安全性 ✓系统文件属主 ✓系统文件权限许可 ✓文件属主及权限许可 ✓sell启动文件 ✓用户信任文件 ✓应用程序配置文档 ✓其他
第10章安全扫描技术
本地扫描器
对Windows NT/2000系统,还有一些特定的安全检查项目
n (2) 后门程序检测 检测 PCANYWAY VNC BO2K 冰河等等远程控制程序是否有 存在于目标主机
n (3) 密码探测 检测 操作系统用户密码, FTP、POP3、Telnet等等登陆或管理密码 的脆弱性
第10章安全扫描技术
n (4) D.o.S探测 检测 各种拒绝服务漏洞 是否存在
n (5)系统探测 检测 系统信息比如NT 注 册表,用户和组,网络情况等
第10章安全扫描技术
远程扫描器
远程扫描器检查网络和分布式系统的 安全漏洞。远程扫描器通过执行一整套综 合的穿透测试程序集,发送精心构造的数 据包来检测目标系统。被测系统和扫描器 的操作系统可以是同一类型,也可以是不 同类型的。
第10章安全扫描技术
远程扫描器
远程扫描需要检查的项目很多,这些项目又可以分为以下几大类:
第10章安全扫描技术
2020/11/25
第10章安全扫描技术
10.1 安全威胁分析
10.1.1 入侵行为分析
怎样才算是受到了黑客的入侵和攻击呢? 狭义的定义认为:攻击仅仅发生在入侵行为完成且入侵者已经在其目标网络 中。 广义的定义认为:使网络受到入侵和破坏的所有行为都应被称为“攻击”。 本书采用广义的定义,即认为当入侵者试图在目标机上“工作”的那个时刻 起,攻击就已经发生了。 下面我们从以下几个方面对入侵行为进行分析: (1)入侵目的 执行过程 获取文件和数据 获取超级用户权限 进行非授权操作 使用系统拒绝服务 篡改信息 披露信息
(4)路由和DNS攻击:基于路由的DOS攻击涉及攻击者操纵路由表 项以拒绝对合法系统或网络提供服务。
第10章安全扫描技术
利用型攻击 利用型攻击是一种试图直接对主机进行控制的攻击。它有两种主要
的表现形式:特洛伊木马和缓冲区溢出。 (1)特洛伊木马:表面看是有用的软件工具,而实际上却在启动
后暗中安装破坏性的软件。 (2)缓冲区溢出攻击(Buffer Overflow):通过往程序的缓冲区
第10章安全扫描技术
扫描的目的