网络安全检测技术及相关软件

一、网络安全检测技术

1、什么是扫描器?

扫描器是一种自动检测远程或本地主机安全性弱点的软件,通过使用扫描器你可不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务,以及相关的软件版本。这就能让我们间接地或直观地了解到远程主机所存在的安全问题。扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(比如:是否能用匿名登陆。是否有可写的FTP目录,是否能用TELNET,HTTPD是用ROOT还是nobody)。

2、什么是嗅探器(Sniffer)?

嗅探器具有软件探测功能能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出xx的问题判断。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议,而另一些可能能够分析几百种协议。不同的场合有不同的用处。

3、什么是Sniffit?

它是指网络端口探测器,配置在后台运行可以检测(如TCP/IP端口上用户的输入/输出信息。常被攻击者可以用来检测主机端口23(telnet)和110(pop3)端口)上的数据传送情况,以便轻松得到你的登录口令和E-mail帐号密码。Sniffit基本上是被破坏者所利用的工具。为了增强自身站点的安全性,我们必须知道攻击者所使用的各种工具。

4、什么是Tripwire?

Tripwire是一个用来检验文件完整性的非常有用的工具,通常的文件检测运行的模式是:数据库生成模式,数据库更新模式,文件完整性检查,互动式数据库更新。当初始化数据库生成的时候,它生成对现有文件的各种信息的数据库文件,万一以后你的系统文件或者各种配置文件被意外地改变,替换,删除,它将每天基于原始的数据库与现有文件进行比较,可以发现哪些文件被更改,这样你就能根据E -mail的结果判断是否有系统入侵等意外事件发生。

5、什么是Logcheck?

Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Lintlx log文件,像/var/log/messages ,/var/log/secure,/var/log/maillog等等,然后生成一个可能有安全问题的检查报告自动发送E-mail给管理员。只要设置它基于每小时,或者每天用crond来自动运行。

6、什么是Nmap?

Nmap是用来对一个比较大的网络进行端口扫描的工具,它能检测该服务器有哪些TCP/IP端口目前正处于打开状态。运行它可以确保已经禁止掉不该打开的不安全的端口号。

7、什么是状态监视技术?

状态监视技术是第三代网络安全技术。状态监视服务的监视模块在不影响网络正常工作的前提下,采用抽取相关数据的方法对网络通信的各个层次实行监测,并作为安全决策的依据。监视模块支持多种网络协议和应用协议,可以方便地实现应用和服务的扩充。状态监视服务可以监视RPC(远程过程调用)和UDP(用户数据报)端口信息,而包过滤和代理服务则都无法做到。

8、什么是PAM(Plug gable Authentication Modules)?

PAM是一套共享库,它为系统管理员进行用户确认提供广泛的控制,他提供一个前端函数库用来确认用户的应用程序。PAM库可以用一个单独的文件来配置,也可以通过一组配置文件来配置。PAM可以配置成提供单一的或完整的登录过程,使用户输入一条口令就能访问多种服务。例如,ftp程序传统上依靠口令机制来确认一个希望开始进行ftp会议的用户。配置了PAM的系统把ftp确认请求发送给PAM API(应用程序接口,后者根据pam.conf或相关文件中的设置规则来回复。系统管理员可以设置PAM使一个或多个认证机制能“插入”到PAM API中。PAM的优点之处在于其灵活性,系统管理员可以精心调整整个认证方案而不用担心破坏应用程序和计算机病毒攻击。

9、什么是智能卡技术?

智能卡就是密钥的一种媒体,它本身含有微处理器,一般就像信用卡一样,由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时,智能卡的保密性能还是相当有效的。

二、网络安全检测工具

1、Nessus：这是一款UNIX平台的漏洞评估工具，可以说它是{zh0}的、免费的网络漏洞扫描程序。其更新速度很快，有超过11000个插件。其关键特性包括安全和本地的安全检查，拥有GTK图形接口的客户端/服务器体系结构，还有一个嵌入式脚本语言(可以编写我们自己的插件或理解现有的插件)。Nessus 3现在是闭源软件，不过仍是免费的，除非你需要{zx1}的插件。

2、Wireshark：这是一款奇特的开源网络协议分析程序，它支持Unix和Windows两种平台。以前它也被称为Ethereal，后因商标问题的争端而改名。它允许用户从一个活动的网络或磁盘上的捕获文件来检查数据。用户可以交互地浏览捕获的数据，深入地探究你需要理解的数据包的祥细信息。此软件拥有几大特性，包括丰富的显示过滤程序语言和查看一次TCP会话的结构化数据流的能力。它还支持大量的协议和媒体类型，包括一个类似于tcpdump的控制台版本，称为tethereal。不过需要注意的是，它饱受大量的远程安全漏洞之苦，因此一定要保持及时更新，并提防在不信任或敌对的网络上运行之。

3、Snort：这是一个很多人都十分喜爱的开源性质的入侵检测系统。这个轻量级的网络入侵检测和预防系统对IP网络中的通信分析和数据包的日志记载都表现出色。通过协议分析、内容搜索以及各种各样的预处理程序，Snort可以检测成千上万的蠕虫、漏洞利用企图、端口扫描和其它的许多可疑行为。它使用一种十分灵活的基于规则的语言来描述通信。此外，它还检查免费的基本分析和安全引擎，即一个分析Snort警告的Web界面。

开源的Snort对于许多个人、小型企业和部门布景言，运行起来很出色。SourceFire公司免费提供了一个产品线，可以使企业级的特性和实时的规则实现更新。当然，用户还可以在Bleeding Edge Snort找到许多功能强大的免费规则。

4、Netcat：这款被为网络上的瑞士军刀的实用程序能够在TCP或UDP网络连接上读写数据。它被设计为一种可靠的后端工具，能够直接地、简单地被其它程序和脚本驱动。同时，它还是一款网络调试和探测工具，因为它能够创建你需要的几乎任何类型的连接，包括端口绑定以便于接收进入的连接。最早的Netcat由Hobbit在1995年发布，虽然非常流行，却没有得到真正的维护。有时甚至很难找到nc110.tgz。不过，这款工具的灵活性和实用性促使人们开发了大量的Netcat实现代码，许多现代化的特性在原始的版本中并不存在。最为有趣的一个实现程序是Socat，它对Netcat进行了扩展，以支持许多其它的套接字类型，SSL加密，SOCKS代理等等。还有Chris Gibson's Ncat，它提供了更多的特性，同时又保持灵活性和简洁性。现在有许多支持Netcat的软件，如OpenBSD's nc, Cryptcat, Netcat6, PNetcat, SBD, 和所谓的 GNU Netcat 等。

5、Hping2：这个小巧实用的应用程序能够组装并发送定制的ICMP、UDP、TCP的数据包，并可以显示任何的应答。它的开发产生于ping命令，不过却提供了对发出去的探测信息的更多控制。它还拥有一个方便的路由跟踪模式，并支持IP数据包的分块。在试图跟踪/ping/探测防火墙背后的主机时，这个工具就相当有用，因为防火墙能够阻止其它标准的应用程序的连接请求，对此工具则不然。这通常允许我们形成防火墙的规则集。如果你要学习更多的TCP/IP以及用IP协议做试验，Hping2也是不错的选择。

6、Kismet：这是一款非常强大的无线网络嗅探工具。Kimset是一个基于802.11第二层的无线网络检测程序、嗅探器和入侵检测系统。它可以通过被动地嗅探(这与主动的嗅探工具如NetStumbler正相反)，甚至可以发现那些在用的隐藏网络。它能够通过嗅探TCP、UDP、ARP、和DHCP数据包来自动地检测网络IP块，并能够以Wireshark/TCPDump的兼容格式记录通信。这个工具还可以用于warwalking，warflying，warskating等。

7、Tcpdump：这是一款经典的网络监视和数据获取嗅探程序。在Ethereal (Wireshark)登上历史舞台之前，Tcpdump是被广泛采用的IP嗅探程序，网管员中的许多人还有继续使用它。它可能没有豪华的外表(如没有一个非常漂亮的图形用户界面)，不过它几乎没有什么安全漏洞，并且需要很少的系统资源。虽然它很少有什么新的特性，不过却能经常修正补丁和可移动性问题。它对于跟踪网络问题或监视网络活动是极有价值的工具。

8、Ettercap：Ettercap是一个基于终端的以太网网络嗅探程序/截获程序/记录程序。它支持对许多协议(即使加密的协议，如SSH和HTTPS)的主动和被动的分解。也能够对已建立连接的网络实施数据截获，以及对动态的数据进行过滤，保持连接的同步。它提供许多嗅探式，这可以给我们一个强有力的、完整的嗅探程序组件包，并支持插件。它能够检查用户的网络是否位于一个交换网络中，并使用系统指纹码(以主动模式或被动模式)让用户知道LAN的几何结构。

9、Nikto：这是一个综合性的开源的Web扫描程序，它可以对Web服务器的多种项目执行扫描，包括超过3200多个潜在的危险文件/CGI，包括在230种服务器上的特定问题。扫描项目和插件能够时常更新，并能够自动进行。它采用Whisker/libwhisker支持其底层的功能。

10、THC Hydra：这是一个快速的网络身份验证xx程序，它支持许多不同的服务。在我们需要强力攻击一个远程的身份验证服务时，Hydra有可能是{zj0}的选择。它可以对30多种协议执行快速的目录攻击，包括telnet、 ftp、 http、 https、smb、多种数据库等。