1、第1页,共42页。第2页,共42页。第3页,共42页。第4页,共42页。第5页,共42页。第6页,共42页。第7页,共42页。第8页,共42页。第9页,共42页。第10页,共42页。第11页,共42页。第12页,共42页。第13页,共42页。第14页,共42页。第15页,共42页。第16页,共42页。第17页,共42页。第18页,共42页。l可以在系统上任意创建进程。为了运行某些程序,检测缓冲区溢出攻击,要求扫描器必须做到这一点。l可以检查到安全补丁一级,以确保系统安装了最新的安全解决补丁。l可以通过在本地查看系统配置文件,检查系统的配置错误。第19页,共42页。系统完整性检查关键系统文件变化
2、检测用户账户变化检测黑客入侵标记检测未知程序版本不常见文件名可疑设备文件未经授权服务弱口令选择检测有安全漏洞程序版本检测标记可被攻击程序报告需要安装的安全补丁检查系统配置安全性全局信任文件第20页,共42页。本地扫描器对Unix系统,需要进行以下项目的检查:第21页,共42页。本地扫描器对Unix系统,需要进行以下项目的检查:邮件服务器配置检查用户环境变量安全性系统文件属主系统文件权限许可文件属主及权限许可sell启动文件用户信任文件应用程序配置文档其他第22页,共42页。本地扫描器对Windows NT/2000系统,还有一些特定的安全检查项目是否允许建立guest账户guest账户有无口令
3、口令构造和过时原则弱口令选择登陆失败临界值注册表权限许可允许远程注册访问独立的注册设置对系统文件和目录不正确的分配许可权非NT缺省配置的未知服务运行易遭到攻击的服务,如运行在Web服务器上的SMB服务等带有许可访问控制设置的共享,可能给远程用户全部访问权其他第23页,共42页。第24页,共42页。第25页,共42页。第26页,共42页。第27页,共42页。第28页,共42页。第29页,共42页。第30页,共42页。第31页,共42页。第32页,共42页。第33页,共42页。第34页,共42页。第35页,共42页。优点:快速,精确,不需要特殊用户权限缺点:不能进行地址欺骗并且非常容易被检测到Cl
4、ient SYNServer SYN/ACKClient ACK Server端口打开Client SYNServer RST/ACKClient RST Server端口没有打开第36页,共42页。Client SYN Server RST/ACK 关闭端口优点:快速,可绕开基本的IDS,避免了TCP3次握手缺点:需要超级拥护权限,IDS系统可能阻止大量的SYN扫描,造成误报第37页,共42页。第38页,共42页。Client可以猜测server端口是否打开 Client SYN/ACK Server RST此通常说明server关闭,但是猜测打开不可靠第39页,共42页。第40页,共42页。第41页,共42页。演讲完毕,谢谢观看!第42页,共42页。
