1. 藍盾數據是什麼意思
藍盾資料庫及業務應用安全監控與審計系統是集資料庫安全監控與審計為一體的新一代資料庫安全防護系統。
採用業務關聯、模型分析、虛擬化審計等多項核心技術,圍繞資料庫弱點掃描、攻擊檢測、操作審計、風險控制四個方面建立了一套嚴密的資料庫安全體系,解決資料庫資源面臨的「越權使用、許可權濫用、許可權盜用」等安全威脅,實現資料庫系統的風險可視化、日常操作可審計、危險操作可控制、安全事件可追溯。
徐州藍盾計算機科技有限公司成立於2017年7月1日,是一所計算機科技類的研發中心。經過從業十餘年工程師的努力,中心建立了良好的運作體系和技術平台,逐漸形成了一個以存儲介質底層研發為基礎,以數據恢復為依託,以伺服器、虛擬機等軟硬體方面的維修、維保和安保為主題的服務模式。在發展過程中,中心一直堅持以「專注 專心 專業」為主導的企業文化,發展高端IT服務產業。
藍盾科技在VMware虛擬機數據恢復、特殊文件系統的數據恢復、各類RAID陣列(JBOD,RAID0,RAID1E,RAID5,RAID6,HP雙循環等)數據恢復及各類硬碟開盤恢復方面積累了大量的經驗。同時依託強大的數據恢復技術,推出了零風險伺服器維修服務,即杜絕了伺服器及存儲在維修的過程中數據丟失的可能,最大限度地保障了損壞伺服器的系統及數據安全。
2. azscanner網站弱點自動掃描器怎麼運行
自動漏洞掃描器,自動子域名爆破,自動爬取注入,調用sqlmapapi檢測注入,埠掃描,目錄爆破,子網段服務探測及其埠掃描,常用框架漏洞檢測。
3. 請闡述漏洞掃描器的作用並根據如下掃描結果分析該系統存在哪些安全風險,如何加強系統安全
1、漏洞掃描器的作用:把各種安全漏洞集成在一起,自動利用這些安全漏洞對遠程主機嘗試攻擊,從而確定目標主機是否存在這些安全漏洞。漏洞掃描,確定特定服務存在的安全漏洞2、默認情況下windows有很多埠是開放的.在你上網的時候,網路病毒和黑客可以通過這些埠連上你的電腦.135埠漏洞:「沖擊波」病毒就是利用RPC漏洞來攻擊計算機的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞,該漏洞是由於錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個介面,該介面偵聽的埠就是135。139埠漏洞:開啟139埠雖然可以提供共享服務,但是常常被攻擊者所利用進行攻擊,比如使用流光、SuperScan等埠掃描工具,可以掃描目標計算機的139埠,如果發現有漏洞,可以試圖獲取用戶名和密碼,這是非常危險的。445埠是一個毀譽參半的埠,有了它我們可以在區域網中輕松訪問各種共享文件夾或共享列印機,但也正是因為有了它,黑客能通過該埠偷偷共享你的硬碟,甚至會在悄無聲息中將你的硬碟格式化掉!在NT技術架構的Windows系統中,有一個系統內置的許可權較低的匿名訪問賬號guest,由於該賬號的存在往往會給系統的安全帶來危害,比如:別人偷偷把你的guest激活後作為後門賬號使用,更隱蔽的是直接克隆成了管理員賬號,ADMINISTRATOR密碼復雜對上網安全是有益的,會給黑客的直接攻擊,提升許可權增加難度,有防黑客的意義。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。1025埠以後Windows動態分配的監聽埠(listen port)。匿名接入該埠後,就可獲取Windows網路的伺服器信息與用戶信息等。可匿名獲取用戶名與伺服器信息就意味著入侵者可以輕松地獲得攻擊伺服器的信息。3、如何加強:135、139、445、1025為高危埠開放,應關閉135.139.445、1025等高危埠;GUEST被啟用,應禁用GUEST!ADMINISTRATOR無密碼或弱口令,應設置復雜的ADMINISTRATOR密碼
4. 掃描器有什麼用
描器是檢測遠程或本地系統安全脆弱性的軟體;通過與目標主機TCP/IP埠建立連接和並請求某些服務(如TELNET、FTP等),記錄目標主機的應答,搜集目標主機相關信息(如匿名用戶是否可以登錄等),從而發現目標主機某些內在的安全弱點。
掃描器的重要性在於把極為煩瑣的安全檢測,通過程序來自動完成,這不僅減輕管理者的工作,而且縮短了檢測時間,使問題發現更快。當然,也可以認為掃描器是一種網路安全性評估軟體。一般而言,掃描器可以快速、深入地對網路或目標主機進行評估。
掃描器的分類
掃描器分為兩類:單一功能掃描器和多功能掃盲器。單一功能掃描器功能簡單,只能完成某些掃描任務,如掃描埠,共享資源和密碼,探測某個漏洞。多功能掃描器則是功能很多,能掃描N多漏洞,探測多種項目的掃描器。
單一功能的掃描器編寫簡單,所以很多,如埠掃描superscan,fport
共享掃描:shed,還有探測某一漏洞的專用掃描器,如unicode掃描器……
SuperScan
是一個功能強大的埠掃描軟體,它通過ping確定ip是否在線;ip域名轉換;檢測一定范圍內計算機在線情況和埠情況;可以自己定義埠檢驗列表,可以保存,自帶了一個木馬埠列表。其他的和這個也差不多,不一一介紹了。
多功能的掃描器能掃描多種常見漏洞,還能進行埠掃描,遠程口令破解等,不過這種軟體開發比較麻煩,不是很多,主要有流光,s-can,x-way。這些是國內的。國外的用的也不少,主要有Namp,Nessus,ShowSecurityScanner……。
XSCAN
XSCAN掃描具有X伺服器弱點的子網(或主機)。乍一看,這似乎並不太重要,畢竟其他多數掃描器都能做同樣的工作。然而,XSCAN包括了一個增加的功能:如果它找到了一個脆弱的目標,它會立即加入記錄。
XSCAN的其他優點還包括:可以一次掃描多台主機。這些主機可以在行命令中作為變數鍵入(並且你可以通過混合匹配同時指定
「流光」,目前最新的版本是5.0
流光的主要特點:
1檢測pop3/ftp主機用戶密碼安全漏洞
2多線程檢測,最多500個線程探測,線程超時設置,阻塞的線程具有自殺功能
3支持10個字典同時探測。檢測設置可以作為項目保存。
4可以探測pop3,ftp,http,sql…………等windows,unix系統的各種漏洞,針對各種漏洞做了不同的破解方案,能通過漏洞輕易獲得被探測的用戶密碼。
5兼容性好,98、nt、2000、xp都能運行,是殺人月貨必備工具。
5. 怎麼識別資料庫漏洞
你指的是哪個資料庫?你是想去找別人的資料庫漏洞,還是為了防止自己的資料庫被入侵。
6. 什麼系統是一種自動檢測遠程或本地主機安全性弱點的程序
埠掃描是指某些別有用心的人發送一組埠掃描消息,試圖以此侵入某台計算機,並了解其提供的計算機網路服務類型(這些網路服務均與埠號相關)。埠掃描是計算機解密高手喜歡的一種方式。攻擊者可以通過它了解到從哪裡可探尋到攻擊弱點。實質上,埠掃描包括向每個埠發送消息,一次只發送一個消息。接收到的回應類型表示是否在使用該埠並且可由此探尋弱點。 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本!這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 一個埠就是一個潛在的通信通道,也就是一個入侵通道。對目標計算機進行埠掃描,能得到許多有用的信息。進行掃描的方法很多,可以是手工進行掃描,也可以用埠掃描軟體進行掃描。 在手工進行掃描時,需要熟悉各種命令。對命令執行後的輸出進行分析。用掃描軟體進行掃描時,許多掃描器軟體都有分析數據的功能。 通過埠掃描,可以得到許多有用的信息,從而發現系統的安全漏洞。 以上定義只針對網路通信埠,埠掃描在某些場合還可以定義為廣泛的設備埠掃描,比如某些管理軟體可以動態掃描各種計算機外設埠的開放狀態,並進行管理和監控,這類系統常見的如USB管理系統、各種外設管理系統等。 2掃描工具編輯 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本!這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 3工作原理編輯 掃描器通過選用遠程TCP/IP不同的埠的服務,並記錄目標給予的回答,通過這種方法,可以搜集到很多關於目標主機的各種有用的信息(比如:是否能用匿名登陸!是否有可寫的FTP目錄,是否能用TELNET,HTTPD是用ROOT還是nobady在跑. 4技術分類編輯 1、開放掃描; 2、半開放掃描; 3、隱蔽掃描。 5其它相關編輯 作用 掃描器並不是一個直接的攻擊網路漏洞的程序,它僅僅能幫助我們發現目標機的某些內在的弱點。一個好的掃描器能對它得到的數據進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。 掃描器應該有三項功能:發現一個主機或網路的能力;一旦發現一台主機,有發現什麼服務正運行在這台主機上的能力;通過測試這些服務,發現漏洞的能力。 編寫掃描器程序必須要很多TCP/IP程序編寫和C,Perl和或SHELL語言的知識。需要一些Socket編程的背景,一種在開發客戶/服務應用程序的方法。開發一個掃描器是一個雄心勃勃的項目,通常能使程序員感到很滿意。 埠號 代理伺服器常用以下埠: ⑴. HTTP協議代理伺服器常用埠號:80/8080/3128/8081/9080 ⑵. SOCKS代理協議伺服器常用埠號:1080 ⑶. FTP(文件傳輸)協議代理伺服器常用埠號:21 ⑷. Telnet(遠程登錄)協議代理伺服器常用埠:23 HTTP伺服器,默認的埠號為80/tcp(木馬Executor開放此埠); HTTPS(securely transferring web pages)伺服器,默認的埠號為443/tcp 443/udp; Telnet(不安全的文本傳送),默認埠號為23/tcp(木馬Tiny Telnet Server所開放的埠); FTP,默認的埠號為21/tcp(木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠); TFTP(Trivial File Transfer Protocol),默認的埠號為69/udp; SSH(安全登錄)、SCP(文件傳輸)、埠重定向,默認的埠號為22/tcp; SMTP Simple Mail Transfer Protocol (E-mail),默認的埠號為25/tcp(木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠); POP3 Post Office Protocol (E-mail) ,默認的埠號為110/tcp; WebLogic,默認的埠號為7001; Webshpere應用程序,默認的埠號為9080; webshpere管理工具,默認的埠號為9090; JBOSS,默認的埠號為8080; TOMCAT,默認的埠號為8080; WIN2003遠程登陸,默認的埠號為3389; Symantec AV/Filter for MSE,默認埠號為 8081; Oracle 資料庫,默認的埠號為1521; ORACLE EMCTL,默認的埠號為1158; Oracle XDB(XML 資料庫),默認的埠號為8080; Oracle XDB FTP服務,默認的埠號為2100; MS SQL*SERVER資料庫server,默認的埠號為1433/tcp 1433/udp; MS SQL*SERVER資料庫monitor,默認的埠號為1434/tcp 1434/udp; QQ,默認的埠號為1080/udp[1] 掃描分類 TCP connect() 掃描 這是最基本的TCP掃描。操作系統提供的connect()系統調用,用來與每一個感興趣的目標計算機的埠進行連接。如果埠處於偵聽狀態,那麼connect()就能成功。否則,這個埠是不能用的,即沒有提供服務。這個技術的一個最大的優點是,你不需要任何許可權。系統中的任何用戶都有權利使用這個調用。另一個好處就是速度。如果對每個目標埠以線性的方式,使用單獨的connect()調用,那麼將會花費相當長的時間,你可以通過同時打開多個套接字,從而加速掃描。使用非阻塞I/O允許你設置一個低的時間用盡周期,同時觀察多個套接字。但這種方法的缺點是很容易被發覺,並且被過濾掉。目標計算機的logs文件會顯示一連串的連接和連接是出錯的服務消息,並且能很快的使它關閉。 TCP SYN掃描 這種技術通常認為是「半開放」掃描,這是因為掃描程序不必要打開一個完全的TCP連接。掃描程序發送的是一個SYN數據包,好象准備打開一個實際的連接並等待反應一樣(參考TCP的三次握手建立一個TCP連接的過程)。一個SYNACK的返回信息表示埠處於偵聽狀態。一個RST返回,表示埠沒有處於偵聽態。如果收到一個SYNACK,則掃描程序必須再發送一個RST信號,來關閉這個連接過程。這種掃描技術的優點在於一般不會在目標計算機上留下記錄。但這種方法的一個缺點是,必須要有root許可權才能建立自己的SYN數據包。 TCP FIN 掃描 有的時候有可能SYN掃描都不夠秘密。一些防火牆和包過濾器會對一些指定的埠進行監視,有的程序能檢測到這些掃描。相反,FIN數據包可能會沒有任何麻煩的通過。這種掃描方法的思想是關閉的埠會用適當的RST來回復FIN數據包。另一方面,打開的埠會忽略對FIN數據包的回復。這種方法和系統的實現有一定的關系。有的系統不管埠是否打開,都回復RST,這樣,這種掃描方法就不適用了。並且這種方法在區分Unix和NT時,是十分有用的。 IP段掃描 這種不能算是新方法,只是其它技術的變化。它並不是直接發送TCP探測數據包,是將數據包分成兩個較小的IP段。這樣就將一個TCP頭分成好幾個數據包,從而過濾器就很難探測到。但必須小心。一些程序在處理這些小數據包時會有些麻煩。 TCP 反向 ident掃描 ident 協議允許(rfc1413)看到通過TCP連接的任何進程的擁有者的用戶名,即使這個連接不是由這個進程開始的。因此你能,舉個例子,連接到http埠,然後用identd來發現伺服器是否正在以root許可權運行。這種方法只能在和目標埠建立了一個完整的TCP連接後才能看到。 FTP 返回攻擊 FTP協議的一個有趣的特點是它支持代理(proxy)FTP連接。即入侵者可以從自己的計算機和目標主機的FTP server-PI(協議解釋器)連接,建立一個控制通信連接。然後,請求這個server-PI激活一個有效的server-DTP(數據傳輸進程)來給Internet上任何地方發送文件。對於一個User-DTP,這是個推測,盡管RFC明確地定義請求一個伺服器發送文件到另一個伺服器是可以的。給許多伺服器造成打擊,用盡磁碟,企圖越過防火牆」。 我們利用這個的目的是從一個代理的FTP伺服器來掃描TCP埠。這樣,你能在一個防火牆後面連接到一個FTP伺服器,然後掃描埠(這些原來有可能被阻塞)。如果FTP伺服器允許從一個目錄讀寫數據,你就能發送任意的數據到發現的打開的埠。[2] 對於埠掃描,這個技術是使用PORT命令來表示被動的User DTP正在目標計算機上的某個埠偵聽。然後入侵者試圖用LIST命令列出當前目錄,結果通過Server-DTP發送出去。如果目標主機正在某個埠偵聽,傳輸就會成功(產生一個150或226的回應)。否則,會出現"425 Can't build data connection: Connection refused."。然後,使用另一個PORT命令,嘗試目標計算機上的下一個埠。這種方法的優點很明顯,難以跟蹤,能穿過防火牆。主要缺點是速度很慢,有的FTP伺服器最終能得到一些線索,關閉代理功能。 這種方法能成功的情景: 220 xxxx. FTP server (Version wu-2.4⑶ Wed Dec 14 ...) ready. 220 xxx.xxx. FTP server ready. 220 xx.Telcom. FTP server (Version wu-2.4⑶ Tue Jun 11 ...) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx. FTP server (Version wu-2.4⑾ Sat Apr 27 ...) ready. 220 elios FTP server (SunOS 4.1) ready 這種方法不能成功的情景: 220 wcarchive. FTP server (Version DG-2.0.39 Sun May 4 ...) ready. 220 xxx.xx.xx. Version wu-2.4.2-academ[BETA-12]⑴ Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-2.4.2-academ[BETA-11]⑴ Tue Sep 3 ...) ready. 220 xxx.FTP server (Version wu-2.4.2-academ[BETA-13]⑹ ...) ready. 不能掃描 這種方法與上面幾種方法的不同之處在於使用的是UDP協議。由於這個協議很簡單,所以掃描變得相對比較困難。這是由於打開的埠對掃描探測並不發送一個確認,關閉的埠也並不需要發送一個錯誤數據包。幸運的是,許多主機在你向一個未打開的UDP埠發送一個數據包時,會返回一個ICMP_PORT_UNREACH錯誤。這樣你就能發現哪個埠是關閉的。UDP和ICMP錯誤都不保證能到達,因此這種掃描器必須還實現在一個包看上去是丟失的時候能重新傳輸。這種掃描方法是很慢的,因為RFC對ICMP錯誤消息的產生速率做了規定。同樣,這種掃描方法需要具有root許可權。 掃描 當非root用戶不能直接讀到埠不能到達錯誤時,Linux能間接地在它們到達時通知用戶。比如,對一個關閉的埠的第二個write()調用將失敗。在非阻塞的UDP套接字上調用recvfrom()時,如果ICMP出錯還沒有到達時回返回EAGAIN-重試。如果ICMP到達時,返回ECONNREFUSED-連接被拒絕。這就是用來查看埠是否打開的技術。 這並不是真正意義上的掃描。但有時通過ping,在判斷在一個網路上主機是否開機時非常有用。[2]
7. 網路攻擊一般分為哪幾個步驟
攻擊的基本步驟:搜集信息 實施入侵 上傳程序、下載數據 利用一些方法來保持訪問,如後門、特洛伊木馬 隱藏蹤跡 【 信息搜集 】在攻擊者對特定的網路資源進行攻擊以前,他們需要了解將要攻擊的環境,這需要搜集匯總各種與目標系統相關的信息,包括機器數目、類型、操作系統等等。踩點和掃描的目的都是進行信息的搜集。
攻擊者搜集目標信息一般採用7個基本步驟,每一步均有可利用的工具,攻擊者使用它們得到攻擊目標所需要的信息。找到初始信息 找到網路的地址范圍 找到活動的機器 找到開放埠和入口點 弄清操作系統 弄清每個埠運行的是哪種服務 畫出網路圖
1>找到初始信息
攻擊者危害一台機器需要有初始信息,比如一個IP地址或一個域名。實際上獲取域名是很容易的一件事,然後攻擊者會根據已知的域名搜集關於這個站點的信息。比如伺服器的IP地址(不幸的是伺服器通常使用靜態的IP地址)或者這個站點的工作人員,這些都能夠幫助發起一次成功的攻擊。
搜集初始信息的一些方法包括:
開放來源信息 (open source information)
在一些情況下,公司會在不知不覺中泄露了大量信息。公司認為是一般公開的以及能爭取客戶的信息,都能為攻擊者利用。這種信息一般被稱為開放來源信息。
開放的來源是關於公司或者它的合作夥伴的一般、公開的信息,任何人能夠得到。這意味著存取或者分析這種信息比較容易,並且沒有犯罪的因素,是很合法的。這里列出幾種獲取信息的例子: 公司新聞信息:如某公司為展示其技術的先進性和能為客戶提供最好的監控能力、容錯能力、服務速度,往往會不經意間泄露了系統的操作平台、交換機型號、及基本的線路連接。 公司員工信息:大多數公司網站上附有姓名地址簿,在上面不僅能發現CEO和財務總監,也可能知道公司的VP和主管是誰。 新聞組:現在越來越多的技術人員使用新聞組、論壇來幫助解決公司的問題,攻擊者看這些要求並把他們與電子信箱中的公司名匹配,這樣就能提供一些有用的信息。使攻擊者知道公司有什麼設備,也幫助他們揣測出技術支持人員的水平 Whois
對於攻擊者而言,任何有域名的公司必定泄露某些信息!
攻擊者會對一個域名執行whois程序以找到附加的信息。Unix的大多數版本裝有whois,所以攻擊者只需在終端窗口或者命令提示行前敲入" whois 要攻擊的域名"就可以了。對於windows操作系統,要執行whois查找,需要一個第三方的工具,如sam spade。
通過查看whois的輸出,攻擊者會得到一些非常有用的信息:得到一個物理地址、一些人名和電話號碼(可利用來發起一次社交工程攻擊)。非常重要的是通過whois可獲得攻擊域的主要的(及次要的)伺服器IP地址。
Nslookup
找到附加IP地址的一個方法是對一個特定域詢問DNS。這些域名伺服器包括了特定域的所有信息和鏈接到網路上所需的全部數據。任何網路都需要的一條信息,如果是打算發送或者接受信件,是mx記錄。這條記錄包含郵件伺服器的IP地址。大多數公司也把網路伺服器和其他IP放到域名伺服器記錄中。大多數UNIX和NT系統中,nslookup代理或者攻擊者能夠使用一個第三方工具,比如spade。
另一個得到地址的簡單方法是ping域名。Ping一個域名時,程序做的第一件事情是設法把主機名解析為IP地址並輸出到屏幕。攻擊者得到網路的地址,能夠把此網路當作初始點。2>找到網路的地址范圍
當攻擊者有一些機器的IP地址,他下一步需要找出網路的地址范圍或者子網掩碼。
需要知道地址范圍的主要原因是:保證攻擊者能集中精力對付一個網路而沒有闖入其它網路。這樣做有兩個原因:第一,假設有地址10.10.10.5,要掃描整個A類地址需要一段時間。如果正在跟蹤的目標只是地址的一個小子集,那麼就無需浪費時間;第二,一些公司有比其他公司更好的安全性。因此跟蹤較大的地址空間增加了危險。如攻擊者可能能夠闖入有良好安全性的公司,而它會報告這次攻擊並發出報警。
攻擊者能用兩種方法找到這一信息,容易的方法是使用America Registry for Internet Numbers(ARIN)whois 搜索找到信息;困難的方法是使用tranceroute解析結果。
(1) ARIN允許任何人搜索whois資料庫找到"網路上的定位信息、自治系統號碼(ASN)、有關的網路句柄和其他有關的接觸點(POC)。"基本上,常規的whois會提供關於域名的信息。ARINwhois允許詢問IP地址,幫助找到關於子網地址和網路如何被分割的策略信息。
(2) Traceroute可以知道一個數據包通過網路的路徑。因此利用這一信息,能決定主機是否在相同的網路上。
連接到internet上的公司有一個外部伺服器把網路連到ISP或者Internet上,所有去公司的流量必須通過外部路由器,否則沒有辦法進入網路,並且大多數公司有防火牆,所以traceroute輸出的最後一跳會是目的機器,倒數第二跳會是防火牆,倒數第三跳會是外部路由器。通過相同外部路由器的所有機器屬於同一網路,通常也屬於同一公司。因此攻擊者查看通過tranceroute到達的各種ip地址,看這些機器是否通過相同的外部路由器,就知道它們是否屬於同一網路。
這里討論了攻擊者進入和決定公司地址范圍的兩種方法。既然有了地址范圍,攻擊者能繼續搜集信息,下一步是找到網路上活動的機器。
3>找到活動的機器
在知道了IP地址范圍後,攻擊者想知道哪些機器是活動的,哪些不是。公司里一天中不同的時間有不同的機器在活動。一般攻擊者在白天尋找活動的機器,然後在深夜再次查找,他就能區分工作站和伺服器。伺服器會一直被使用,而工作站只在正常工作日是活動的。
Ping :使用ping可以找到網路上哪些機器是活動的。
Pingwar:ping有一個缺點,一次只能ping一台機器。攻擊者希望同時ping多台機器,看哪些有反應,這種技術一般被稱為ping sweeping。Ping war 就是一個這樣的有用程序。
Nmap:Nmap也能用來確定哪些機器是活動的。Nmap是一個有多用途的工具,它主要是一個埠掃描儀,但也能ping sweep一個地址范圍。4>找到開放埠和入口點
(1)Port Scanners:
為了確定系統中哪一個埠是開放的,攻擊者會使用被稱為port scanner(埠掃描儀)的程序。埠掃描儀在一系列埠上運行以找出哪些是開放的。
選擇埠掃描儀的兩個關鍵特徵:第一,它能一次掃描一個地址范圍;第二,能設定程序掃描的埠范圍。(能掃描1到65535的整個范圍。)
目前流行的掃描類型是:TCP conntect掃描 TCP SYN掃描 FIN掃描 ACK掃描常用埠掃描程序有:ScanPort:使用在Windows環境下,是非常基礎的埠掃描儀,能詳細列出地址范圍和掃描的埠地址范圍。 Nmap:在UNIX環境下推薦的埠掃描儀是Nmap。Nmap不止是埠掃描儀,也是安全工具箱中必不可少的工具。Namp能夠運行前面談到的不同類型的 。 運行了埠掃描儀後,攻擊者對進入計算機系統的入口點有了真正的方法。
(2) War Dialing
進入網路的另一個普通入口點是modem(數據機)。用來找到網路上的modem的程序被稱為war dialers。基本上當提交了要掃描的開始電話號碼或者號碼范圍,它就會撥叫每一個號碼尋找modem回答,如果有modem回答了,它就會記錄下這一信息。
THC-SCAN是常用的war dialer程序。
5>弄清操作系統
攻擊者知道哪些機器是活動的和哪些埠是開放的,下一步是要識別每台主機運行哪種操作系統。
有一些探測遠程主機並確定在運行哪種操作系統的程序。這些程序通過向遠程主機發送不平常的或者沒有意義的數據包來完成。因為這些數據包RFC(internet標准)沒有列出,一個操作系統對它們的處理方法不同,攻擊者通過解析輸出,能夠弄清自己正在訪問的是什麼類型的設備和在運行哪種操作系統。Queso:是最早實現這個功能的程序。Queso目前能夠鑒別出范圍從microsoft到unix 和cisco路由器的大約100種不同的設備。 Nmap:具有和Queso相同的功能,可以說它是一個全能的工具。目前它能檢測出接近400種不同的設備。 6>弄清每個埠運行的是哪種服務
(1) default port and OS
基於公有的配置和軟體,攻擊者能夠比較准確地判斷出每個埠在運行什麼服務。例如如果知道操作系統是unix和埠25是開放的,他能判斷出機器正在運行sendmail,如果操作系統是Microsoft NT和埠是25是開放的,他能判斷出正在運行Exchange。
(2) Telnet
telnet是安裝在大多數操作系統中的一個程序,它能連接到目的機器的特定埠上。攻擊者使用這類程序連接到開放的埠上,敲擊幾次回車鍵,大多數操作系統的默認安裝顯示了關於給定的埠在運行何種服務的標題信息。
(3) Vulnerability Scanners
Vulnerability Scanners(弱點掃描器)是能被運行來對付一個站點的程序,它向黑客提供一張目標主機弱點的清單。7>畫出網路圖
進展到這個階段,攻擊者得到了各種信息,現在可以畫出網路圖使他能找出最好的入侵方法。攻擊者可以使用traceroute或者ping來找到這個信息,也可以使用諸如cheops那樣的程序,它可以自動地畫出網路圖。
Traceroute
Traceroute是用來確定從源到目的地路徑的程序,結合這個信息,攻擊者可確定網路的布局圖和每一個部件的位置。
Visual Ping
Visual Ping是一個真實展示包經過網路的路線的程序。它不僅向攻擊者展示了經過的系統,也展示了系統的地理位置。
Cheops
Cheops利用了用於繪制網路圖並展示網路的圖形表示的技術,是使整個過程自動化的程序。如果從網路上運行,能夠繪出它訪問的網路部分。經過一系列的前期准備,攻擊者搜集了很多信息,有了一張網路的詳盡圖,確切地知道每一台機器正在使用的軟體和版本,並掌握了系統中的一些弱點和漏洞。我們可以想像一下,他成功地攻擊網路會很困難嗎?回答是否定的!當擁有了那些信息後,網路實際上相當於受到了攻擊。因此,保證安全讓攻擊者只得到有限的網路信息是關鍵!</B>
8. 網路安全漏洞掃描器的應用
網路安全掃描器簡介
迅速發展的Internet給人們的生活、工作帶來了巨大的方便,但同時,也帶來了一些不容忽視的問題,網路信息的安全保密問題就是其中之一。
網路的開放性以及黑客的攻擊是造成網路不安全的主要原因。科學家在設計Internet之初就缺乏對安全性的總體構想和設計,我們所用的TCP/IP 協議是建立在可信的環境之下,首先考慮的是網路互連,它是缺乏對安全方面的考慮的。而且TCP/IP協議是完全公開的,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基於互相信任的原則等等這一些性質使網路更加不安全。
先進的技術是實現網路信息安全的有力武器,這些技術包括:密碼技術、身份驗證技術、訪問控制技術、安全內核技術、網路反病毒技術、信息泄漏防治技術、防火牆技術、網路安全漏洞掃描技術、入侵檢測技術等。而在系統發生安全事故之前對其進行預防性檢查,及時發現問題並予以解決不失為一種很好的辦法,於是網路安全漏洞掃描技術應運而生。
1. 掃描器基本工作原理
掃描器是一種自動檢測遠程或本地主機安全脆弱點的程序,通過使用掃描器可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本,這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。
掃描器採用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、伺服器、交換機、資料庫應用等各種對象。然後根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網路安全整體水平產生重要依據。在網路安全體系的建設中,安全掃描工具花費低、效果好、見效快、與網路的運行相對對立、安裝運行簡單,可以大規模減少安全管理員的手工勞動,有利於保持全網安全政策的統一和穩定。
掃描器並不是一個直接的攻擊網路漏洞的程序,它僅僅能幫助我們發現目標機的某些存在的弱點。一個好的掃描器能對它得到的數據進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。
掃描器應該有三項功能:發現一個主機和網路的能力;一旦發現一台主機,有發現什麼服務正運行在這台主機上的能力;通過測試這些服務,發現這些漏洞的能力。
掃描器對Internet安全很重要,因為它能揭示一個網路的脆弱點。在任何一個現有的平台上都有幾百個熟知的安全脆弱點。在大多數情況下,這些脆弱點都是唯一的,僅影響一個網路服務。人工測試單台主機的脆弱點是一項極其繁瑣的工作,而掃描程序能輕易的解決這些問題。掃描程序開發者利用可得到的常用攻擊方法並把它們集成到整個掃描中,這樣使用者就可以通過分析輸出的結果發現系統的漏洞。
2.埠掃描介紹
真正的掃描器是TCP埠掃描器,這種程序可以選通TCP/IP埠和服務(比如,Telnet或FTP),並記錄目標的回答。通過這種方法,可以搜集到關於目標主機的有用信息(比如,一個匿旬用戶是否可以登錄等等)。而其他所謂的掃描器僅僅是UNIX網路應用程序,這些程序一般用於觀察某一服務是否正在一台遠程機器上正常工作,它們不是真正的掃描器,但也可以用於收集目標主機的信息(UNIX平台上通用的rusers和host命令就是這類程序的很好的例子)。
2.1 TCP SYN 掃描
掃描程序發送的SYN數據包,好像准備打開一個新的連接並等待反映一樣。一個SYN|ACK的返回信息表示埠處於偵聽狀態。一個RST 返回表示埠沒有處於偵聽狀態。如果收到一個SYN|ACK,掃描程序必須再發送一個RST 信號,來關閉這個連接過程。
優點:不會在目標計算機上留下紀錄。
缺點:掃描程序必須要有root許可權才能建立自己的SYN數據包。
2.2 TCP FIN 掃描
關閉的埠會用適當的RST來回復FIN數據包,而打開的埠會忽略對FIN數據包的回復。
優點:FIN數據包可以不惹任何麻煩的通過。
缺點:這種方法和系統的實現有一定的關系,有些系統不論是打開的或關閉的埠對FIN數據包都要給以回復,這種情況下該方法就不實用了。
2.3 TCP connect()掃描
操作系統提供connect()系統調用,用來與每一個感興趣的目標計算機的埠進行連接。如果埠處於偵聽狀態,那麼connect()就能成功。否則,這個埠是不能用的,即沒有提供服務。
優點:系統中的任何用戶都有權利使用這個調用;如果對每個目標埠以線性的方式掃描,將會花費相當長的時間,但如果同時打開多個套接字,就能加速掃描。
缺點:很容易被發現,目標計算機的logs文件會顯示一連串連接和連接出錯的消息,並且能很快的將它關閉。
3.掃描程序介紹
目前存在的掃描器產品主要可分為基於主機的和基於網路的兩種,前者主要關注軟體所在主機上面的風險漏洞,而後者則是通過網路遠程探測其它主機的安全風險漏洞。
國外,基於主機的產品主要有:AXENT公司的ESM,ISS公司的System Scanner等,基於網路的產品包括ISS公司的Internet Scanner、AXENT公司的NetRecon、NAI公司的CyberCops Scanner、Cisco的NetSonar等。目前國內有中科院網威工作室開發的NetPower產品出現,另外北方計算機公司(***)也有類似產品。 下面介紹一些可以在Internet上免費獲得的掃描程序。
3.1 NSS(網路安全掃描器)
(1) NSS由Perl語言編成,它最根本的價值在於速度,它運行速度非常快,可以執行下列常規檢查:
■Sendmail
■匿名FTP
■NFS出口
■TFTP
■Hosts.equiv
■Xhost
註:除非你擁有最高特權,否則NSS不允許你執行Hosts.equiv。
(2) 利用NSS,用戶可以增加更強大的功能,其中包括:
■AppleTalk掃描
■Novell掃描
■LAN管理員掃描
■可掃描子網
(3) NSS執行的進程包括:
■取得指定域的列表或報告,該域原本不存在這類列表
■用Ping命令確定指定主機是否是活性的
■掃描目標主機的埠
■報告指定地址的漏洞
(4) 提示
在對NSS進行解壓縮後,不能立即運行NSS,需要對它進行一些修改,必須設置一些環境變數,以適應你的機器配置。主要變數包括:
$TmpDir_NSS使用的臨時目錄
$YPX-ypx應用程序的目錄
$PING_可執行的ping命令的目錄
$XWININFO_xwininfo的目錄
如果你隱藏了Perl include目錄(目錄中有Perl include文件),並且在PATH環境變數中沒有包含該目錄,需要加上這個目錄;同時,用戶應該注意NSS需要ftplib.pl庫函數。NSS具有並行能力,可以在許多工作站之間進行分布式掃描。而且,它可以使進程分支。在資源有限的機器上運行NSS(或未經允許運行NSS)應該避免這種情況,在代碼中有這方面的選項設置。
3.2 Strobe(超級優化TCP埠檢測程序)
strobe是一個TCP埠掃描器,它可以記錄指定機器的所有開放埠。strobe運行速度快(其作者聲稱在適中的時間內,便可掃描整個一個國家的機器)。
strobe的主要特點是,它能快速識別指定機器上正在運行什麼服務。strobe的主要不足是這類信息是很有限的,一次strobe攻擊充其量可以提供給"入侵者"一個粗略的指南,告訴什麼服務可以被攻擊。但是,strobe用擴展的行命令選項彌補了這個不足。比如,在用大量指定埠掃描主機時,你可以禁止所有重復的埠描述(僅列印首次埠定義)。其他選項包括:
■定義起始和終止埠
■定義在多長時間內接收不到埠或主機響應,便終止這次掃描。
■定義使用的socket號碼
■定義strobe要捕捉的目標主機的文件
在獲得strobe的同時,必然獲得手冊頁面,這對於Solaris 2.3是一個明顯的問題,為了防止發生問題,必須禁止使用getpeername()。在行命令中加入-g 標志就可以實現這一目的。同時,盡管strobe沒有對遠程主機進行廣泛測試,但它留下的痕跡與早期的ISS一樣明顯,被strobe掃描過的主機會知道這一切(這非常象在/var/adm/messages文件中執行連接請求)。
3.3 SATAN(安全管理員的網路分析工具)
SATAN是為UNIX設計的,它主要是用C和Perl語言編寫的(為了用戶界面的友好性,還用了一些HTML技術)。它能在許多類UNIX平台上運行,有些根本不需要移植,而在其他平台上也只是略作移植。
在Linux上運行SATAN有一個特殊問題,應用於原系統的某些規則在Linus平台上會引起系統失效的致命缺陷;在tcp-scan模塊中實現 select()調用也會產生問題;最後要說的是,如果用戶掃描一個完整子網,則會引進反向fping爆炸,也即套接字(socket)緩沖溢出。但是,有一個站點不但包含了用於Linux的、改進的SATAN二進制代碼,還包含了diff文件。SATAN用於掃描遠程主機的許多已知的漏洞,其中包括但並不限於下列這些漏洞:
■FTPD脆弱性和可寫的FTP目錄
■NFS脆弱性
■NIS脆弱性
■RSH脆弱性
■Sendmail
■X伺服器脆弱性
SATAN的安裝和其他應用程序一樣,每個平台上的SATAN目錄可能略有不同,但一般都是/satan-1.1.1。安裝的第一步(在閱讀了使用文檔說明後)是運行Perl程序reconfig。這個程序搜索各種不同的組成成分,並定義目錄路徑。如果它不能找到或定義一個瀏覽器。則運行失敗,那些把瀏覽器安裝在非標准目錄中(並且沒有在PATH中進行設置)的用戶將不得不手工進行設置。同樣,那些沒有用DNS(未在自己機器上運行DNS)的用戶也必須在/satan-1.1.1/conf/satan.cf中進行下列設置:$dont_use_nslookuo=1;在解決了全部路徑問題後,用戶可以在分布式系統上運行安裝程序(IRIX或SunOS),我建議要非常仔細地觀察編譯,以找出錯誤。
SATAN比一般掃描器需要更多一些的資源,尤其是在內存和處理器功能方面要求更高一些。如果你在運行SATAN時速度很慢,可以嘗試幾種解決辦法。最直接的辦法就是擴大內存和提高處理器能力,但是,如果這種辦法不行,我建議用下面兩種方法:一是盡可能地刪除其他進程;二是把你一次掃描主機的數量限制在100台以下。最後說明的一點是,對於沒有強大的視頻支持或內存資源有限的主機,SATAN有一個行命令介面,這一點很重要。
3.4 Jakal
Jakal是一個秘密掃描器,也就是就,它可以掃描一個區域(在防火牆後面),而不留下任何痕跡。
秘密掃描器工作時會產生"半掃描"(half scans),它啟動(但從不完成)與目標主機的SYN/ACK過程。從根本上講,秘密掃描器繞過了防火牆,並且避開了埠掃描探測器,識別出在防火牆後面運行的是什麼服務。(這里包括了像Courtney和GAbriel這樣的精製掃描探測器)。
3.5 IdentTCPscan
IdentTCPscan是一個更加專業化的掃描器,其中加入了識別指定TCP埠進程的所有者的功能,也就是說,它能測定該進程的UID。
3.6 CONNECT
CONNECT是一個bin/sh程序,它的用途是掃描TFTP服務子網。
3.7 FSPScan
FSPScan用於掃描FSP服務順。FSP代表文件服務協議,是非常類似於FTP的Internet協議。它提供匿名文件傳輸,並且據說具有網路過載保護功能(比如,FSP從來不分叉)。FSP最知名的安全特性可能就是它記錄所有到來用戶的主機名,這被認為優於FTP,因為FTP僅要求用戶的E- mail地址(而實際上根本沒有進行記錄)。FSP相當流行,現在為Windows 和OS/2開發了GUI客戶程序。
3.8 XSCAN
XSCAN掃描具有X伺服器弱點的子網(或主機)。乍一看,這似乎並不太重要,畢竟其他多數掃描器都能做同樣的工作。然而,XSCAN包括了一個增加的功能:如果它找到了一個脆弱的目標,它會立即加入記錄。
XSCAN的其他優點還包括:可以一次掃描多台主機。這些主機可以在行命令中作為變數鍵入(並且你可以通過混合匹配同時指定主機和子網)。
4. 結束語
隨著Internet的應用日漸普及,網路攻擊的種類和方式也愈來愈多,掃描程序不太可能集成所有的遠程攻擊。每發現一個新的漏洞,掃描程序就應該加入檢查這個新漏洞的能力,這是一個永不停止的過程。因此掃描器最多提供一個快速觀察TCP/IP安全性的工具,通過系統管理員的正確使用,能夠避免一些入侵者的惡意攻擊,但並不能保證網路的安全。
9. 網路型安全漏洞掃描器的主要功能有() 多選
ABCDE,這五個答案都是對的。
網路型安全漏洞掃描器的主要功能有五個,分別為:埠掃描檢測、應用程序掃描檢測、後門程序掃描檢測、密碼破解掃描檢測、系統安全信息掃描檢測。
題中選項剛好對應網路掃描儀的五個功能,所以五個答案都是正確的。
(9)資料庫弱點掃描器擴展閱讀:
網路掃描儀的工作原理:
網路掃描器是一種自動檢測遠程或本地主機安全脆弱點的程序,通過使用掃描器可以不留痕跡的發現遠程伺服器的各種TCP埠的分配及提供的服務和它們的軟體版本,這就能讓我們間接的或直觀地了解到遠程主機所存在的安全問題。
網路掃描器採用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、伺服器、交換機、資料庫應用等各種對象。
然後根據掃描結果向系統管理員提供周密可靠的安全性分析報告,為提高網路安全整體水平產生重要依據。
在網路安全體系的建設中,安全掃描工具花費低、效果好、見效快、與網路的運行相對對立、安裝運行簡單,可以大規模減少安全管理員的手工勞動,有利於保持全網安全政策的統一和穩定。
掃描器並不是一個直接的攻擊網路漏洞的程序,它僅僅能幫助我們發現目標機的某些存在的弱點。一個好的掃描器能對它得到的數據進行分析,幫助我們查找目標主機的漏洞。但它不會提供進入一個系統的詳細步驟。
10. 想下載個掃描漏洞的系統哪個好
參數對比 啟明星辰天境漏洞掃描系統便攜版 綠盟ICEYE-1200P-03 [北京 無貨 2008-03-13] ¥120 參考價格 ¥75.24萬 [北京] 啟明星辰 品牌 綠盟科技 中文 語言版本 中文 無 版本號 無 便攜版 版本類型 無類型區分 CPU:不低於PIII 500,內存:256MB以上 適用硬體環境 ICEYE-1200P-03型,2U硬體平台,兩個1000M介面模塊插槽,一個管理口,支持一路IPS加一路IDS或三路IDS Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等,MSSQL,ORACLE,SYBASE,DB2,MySQL資料庫 適用軟體環境 Windows 操作系統 天鏡脆弱性掃描與管理系統系統有單機版、便攜版、分布版三種類型,具備分布掃描、集中管理、綜合分析、多級控制功能。能夠跨地域對多個網路同時進行漏洞掃描,並能夠集中管理、配置各掃描引擎,將掃描結果集中分析,同時提供詳細的系統脆弱性修補方案。 系統簡介 天鏡脆弱性掃描與管理系統是啟明星辰信息技術有限公司自主研發的基於網路的安全性能評估分析系統,它採用實踐性的方法掃描分析網路系統,綜合檢測網路系統中存在的弱點和漏洞,並以報表的方式提供給用戶,適時提出修補方法和安全實施策略,天鏡脆弱性掃描與管理系統內含基於國際標准建立的安全漏洞庫,並通過網路升級與國際最新標準保持同步。 功能特點 強大的掃描功能 採用模塊化的結構體系,有利於產品功能的擴展,同時採用了高頻掃描驅動,結合全面的掃描方法資料庫,對網路和系統進行全方位、高密度的掃描;多線程掃描和斷點掃描技術的引入更加提高了工作效率,節省了掃描時間,同時提高了產品應用的靈活性和伸縮性,適應各種規模的企業網路需要。 支持掃描的目標系統 主流操作系統:Windows 9X/2000/2003/NT/XP、Sun Solaris、HP Unix、IBM AIX、IRIX、Linux、BSD等。 網路設備:Cisco、3Com、Checkpoint FW等。 支持掃描的資料庫系統:MSSQL,ORACLE,SYBASE,DB2,MySQL。 完善而靈活的用戶管理功能 允許使用者分別以不同的用戶身份進行登錄使用,每個用戶所擁有的許可權不同,從而維護系統的使用安全性和用戶之間的保密性。 自由定製掃描策略 針對網路應用,按照國際劃分慣例內置定時掃描,漸進式分級掃描等多種掃描策略,並提供了自定義策略的功能,讓用戶按需求定製策略,進行掃描。 詳細靈活的掃描結果報告 系統中自帶了三種不同的報告模板,提供定製化報告,其模板管理功能,允許用戶按照關心的問題和所需的格式生成新的報告模板,為用戶分析系統安全提供更具針對性的依據。 詳盡的修補方案 天鏡能准確地掃描出系統或網路中存在的缺陷或漏洞,並針對每一個漏洞提出詳盡的修補方案。 快速方便的升級 用戶登錄到啟明星辰公司的網站上,下載相應的升級文件並執行,即可完成所有的升級工作。 詳細說明 冰之眼入侵檢測系統由網路探測器、SSL加密傳輸通道、中央控制台、日誌分析系統、SQL日誌資料庫系統及綠盟科技中央升級站點幾部分組成。 產品特性 入侵檢測系統最核心的要求就是准確地檢測入侵事件,並採取有效措施進行防護和干預。由於技術原因以及欺騙性攻擊技術的不斷發展,漏報和誤報一直是困擾入侵檢測領域的兩大難題。綠盟科技集中了業內最優秀的安全專家,在對各種攻擊手段進行充分的研究後,總結出一套行之有效的檢測手段,誤報率、漏報率均遠遠低於國內外同類產品,並得到了權威機構的評測認可。 覆蓋廣泛的攻擊特徵庫 冰之眼入侵檢測系統攜帶了超過1800條經過仔細檢測與時間考驗的攻擊特徵,由著名的NSFocus安全小組精心提煉而成。針對每個攻擊均附有詳細描述和解決辦法,對應NSFocus ID、CVE ID、Bugtraq ID,管理員直接點擊裡面的安全補丁URL連接可以直接將系統升級到最新版本,免除遭受第二波的攻擊。 IP碎片重組與TCP流匯聚 冰之眼入侵檢測系統具有完美的IP碎片重組與TCP流匯聚能力,能夠檢測到黑客採用任意分片方式進行的攻擊。 協議識別 冰之眼入侵檢測系統能夠准確識別超過100種的應用層協議、木馬、後門、P2P應用、IMS系統、網路在線游戲等。 協議分析 冰之眼入侵檢測系統深入分析了接近100種的應用層協議,包括HTTP、FTP、SMTP...... 攻擊結果判定 冰之眼入侵檢測系統能夠准確判斷包括掃描、溢出在內的絕大多數攻擊行為的最終結果。 協議異常檢測 冰之眼入侵檢測系統具備了強有力的協議異常分析引擎,能夠准確發現幾乎100%的未知溢出攻擊與0-day Exploit。 拒絕服務檢測 冰之眼入侵檢測系統採用綠盟科技的 Collapsar專利技術,能夠准確檢測SYN Flood、ICMP Flood、Connection Flood、Null Stream Flood等多種拒絕服務攻擊。配合綠盟科技的Collapsar產品,能夠進行有效的防禦保護