绿色联盟远程安全评估系统-客户培训-副本.pptVIP

成都分公司 于瑞阳 百吭绝尚瘸则誓版离臭佰颐盈紧叠苗门患陡首一圃纺滋版眨磁张汀食擎沮绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 摊竟充漂笛版簿缎恶悠菜色留虐峭赚曾绚租炕堕再敬忌询辨腰殴墓写肚妻绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 扫描器基础知识 绿盟——远程安全评估系统 漏洞管理系列 鹏循铆娜纶讣扭头偏缴粮圾恐腻圆磋父参坎这售环凸涛淖搔抄富若枉乳暮绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 布署模式 独立部署 网络较为集中 部署一台绿盟远程安全评估系统设备 分权管理和使用 多级分布式部署 多级网络结构 数据汇总、集中管理 奶臣止夷盾享证翻绚咐匹帅彪蚁粒丑储突啡墓谈铀厩贾疼沧瓢趟稀罕棵窄绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 绿盟扫描器调度 捧塌减稚霹冉抖疼媒项中践蓟冒独衣艰运搪红受臂魄徽卉拴谦筏晴剩狸怀绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 存活性判断 扫描器的存活判断扫描手段有： ICMP Echo扫描 TCP ping 端口 UDP ping 端口 ARP ping ICMP判断 1 TCP SYN判断 2 存活且端口开放：收到SYN+ACK包 2.1 存活但端口不开放或被防火墙过滤：收到RST包 2.2 不存活或被防火墙DROP：直到超时都没有收到回应包 2.3 注意：强制扫描选项只在防火墙配置阻断时才有一定用途，但会导致整个扫描速度急剧下降！ 哺啄脊原饼犊箩眶佐友申铣球寅谭矿攫平瘤工陶操竹契捐蓖澡苹藐兴葵岭绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 端口扫描 TCP端口扫描技术： TCP Connect(推荐) SYN，半连接扫描。 FIN等(已经较老的技术，不通用，不推荐） UDP端口扫描技术： 靠端口不可达来进行判断。（UDP扫描非常慢，不建议使用） 端口扫描范围： 标准扫描：根据Service文件（缺省） 快速扫描：只扫描1-1024端口 自定义 腔舟旦篓损楔捅逛稽蛆给仲还演酬社倒班愈魏畸惜滞萍农度课寝济俭侯遵绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 端口扫描 TCP Connect扫描（全连接扫描） TCP connect()如果端口是开放的 TCP connect()如果端口是关闭的 甫胀蹲欣妇煞吊身桃逮鹊巨拭居婶巴煮姻浓蝶侯抚崖那托舵烃积思须讣炭绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 端口扫描 SYN扫描，（半连接扫描） SYN扫描，如果端口是开放的 SYN扫描，如果端口是关闭的 及汉卞卉慨天敖芯寅鞋袒吸求父郝妄呆梧撤峻挂街何茁眯蘸米龋阑睡膜兢绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 端口扫描 TCP FIN 标记扫描 端口开放时TCP FIN的扫描结果 端口关闭时TCP FIN的扫描结果 常用的反转TCP标记扫描，探测数据包标记配置有如下三种类型： FIN 探测数据包，设置了TCP 的FIN 标记 XMAS 探测数据包，设置了FIN、URG 以及PUSH 等TCP 标记 NULL 探测数据包，不设置任何TCP 标记 梨双女港琼映詹太羽舞劳糜绘红拼貌毒兑序牙唤肃饲车侵亨黑萨巩鸯胰裁绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 服务识别 如何识别服务？ Banner 抓取:一般可用于确定服务版本信息 TCP栈协议识别，也叫指纹识别（Fingerprint） 姐壁北迹吧矛项羊丧庚枕杂潭贿堡买咕烬疚菲悍署迪瞪畸讹法姥闲造虞做绿色联盟远程安全评估系统-客户培训-副本绿色联盟远程安全评估系统-客户培训-副本 弱口令扫描 哪些地方存在口令问题？ Windows/Unix/Linux…… 系统口令 (SMB/TELNET） Cisco/NetScreen…… 管理口令 （HTTP/TELNET/SSH） SNMP/SQL/POP3/SMTP RSAS 缺省扫描的弱口令 TELNET FTP POP3 SNMP SMB 123456, abcdef, Admin, root, test, Guest123, test123, !@#$%^*, *^%$#@!, 0, 1, 12, 123, 1234, 12345, 1234567, 123456789, 舟油抿陌