一、安全扫描技术

1.1 安全扫描技术概念

1、安全扫描技术指手工或使用特定的软件工具(安全扫描器)，对系统脆弱性进行评估，寻找可能对系统造成损害的安全漏洞。

2、安全扫描技术分为系统扫描和网络扫描两大类。
（1）系统扫描：侧重于主机系统的平台安全性及基于此平台应用系统的安全。扫描器与待查系统处于同一结点，进行自身检查。
（2）网络扫描：侧重于系统提供的网络应用和服务及相关的协议分析。扫描器与待查系统处于不同结点，通过网络远程探测目标结点，寻找安全漏洞。

3、安全扫描的目的：通过特定的手段和方法发现系统或网络存在的隐患，及时修补漏洞或利用漏洞攻击敌方。

4、安全扫描技术可以有效地提高安全性：
（1）提前告警存在的漏洞，从而预防入侵和误用。
（2）检查系统中由于入侵或误操作产生的新漏洞。

1.2 安全扫描技术分析

1、扫描器工作流程：
（1）发现目标主机或网络。
（2）发现目标后，进一步发现目标系统类型及配置等信息，包括确认目标主机操作系统类型、运行的服务及服务软件版本等。如果目标是一个网络，还可以进一步发现该网络的拓扑结构、路由设置及网络主机等。
（3）测试哪些服务具有安全漏洞。

2、端口扫描技术：
（1）根据扫描方法不同，端口扫描技术可分为：全开扫描、半开扫描、秘密扫描和区段扫描。
（2）这几种扫描方法都可以用来查找服务器打开的端口，从而发现服务器对外开放的服务。
（3）能否成功还受限于远程目标网络的拓扑结构、IDS、日志机制等配置。

3、全开扫描：
（1）通过与目标主机建立标准的TCP连接(3次握手)，检查目标主机相应端口是否打开。
（2）优点：快速、准确、不需要特殊权限。
（3）缺点：很容易被检测到。

4、半开扫描：(SYN扫描)
（1）“半开”含义：client端在TCP三次握手尚未完成就单方面终止连接过程。
（2）由于完整连接尚未建立，通常不会被server方记录下来。同时也可避开部分IDS的监测。

5、秘密扫描：
（1）秘密扫描意指可以避开IDS和系统日志记录的扫描。满足要求的扫描技术有很多，以SYN|ACK扫描为例说明。
（2）SYN|ACK扫描省掉了三次握手的第一步，直接发送SYN|ACK包到server端，根据server 的应答推测端口是否打开。

6、系统类型测试技术：
（1）由于许多安全漏洞都与操作系统密切相关，所以探测系统类型对于攻击者很重要。
（2）攻击者先收集目标系统的信息并存储，当某一系统的新漏洞被发现，就可在存储的信息中查找，并对匹配的系统进行攻击。
（3）检测系统类型主要有三种方法：系统旗标、DNS信息、TCP/IP堆栈指纹。

7、系统旗标：利用系统服务给出的信息，如：telnet、ftp、www、mail等。最简单的检测方法就是直接登录该系统提供的服务。

8、DNS信息：主机信息有时可能通过DNS记录泄露。

9、TCP/IP堆栈指纹：操作系统在实现TCP/IP协议时的一些特有的实现特征，处在系统底层，修改困难。

二、病毒防治技术

2.1 病毒的概念与起源

1、具有传染和破坏的特征，与生物医学上的”病毒”在很多方面都很相似，习惯上将这些“具有特殊功能的程序”称为”计算机病毒”。

2、从广义上讲，凡能够引起计算机故障、破坏或窃取计算机数据、非法控制他人计算机的程序统称为计算机病毒。

2.2 病毒的主要特征

1、传染性
（1）这是病毒的基本特征。计算机病毒会通过各种渠道从已被 感染的计算机扩散到未被感染的计算机。
（2）计算机病毒程序代码一旦进入计算机并得以执行，会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。
（3）正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。是否具有传染性是判别一个程序是否为计算机病毒的重要条件。

2、隐蔽性
（1）病毒程序都具有很高编程技巧、短小精悍。通常附在正常程序中或磁盘较隐蔽的地方，用户很难发现它的存在。
（2）如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，受到感染的计算机系统通常仍能正常运行，用户不会感到异常。
（3）现在的计算机病毒一般都具有很强的反侦察能力。
（4）计算机病毒一旦被发现会迅速出现变种。

3、潜伏性：
大部分病毒感染系统之后一般不会马上发作，长期隐藏在系统中悄悄地进行繁殖和扩散，只有在满足特定条件时才启动其表现（破坏）模块。

4、破坏性（表现性）：
任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。

5、不可预见性：
从病毒的检测来看，不同种类的病毒，代码千差万别，甚至某些正常程序也借鉴病毒的技术。

6、触发性：
满足传染触发条件时，病毒的传染模块会被激活，实施传染操作。满足表现触发条件时，病毒的表现模块会被激活，实施表现或破坏操作。

7、针对性：
有一定的环境要求，并不一定对任何系统都能感染。

2.3 病毒的一般结构与作用机理

1、病毒的一般结构：
（1）计算机病毒代码的结构一般包括三大功能模块，即引导模块，传染模块和破坏（表现）模块。其中，后两个模块各包含一段触发条件检查代码，分别检查是否满足传染触发条件和表现触发条件。
（2）引导模块将病毒由外存引入内存，使后两个模块处于活动状态。传染模块用来将病毒传染到其它对象上去。破坏模块实施病毒的破坏作用。

2、病毒的作用机理：
（1）计算机病毒有两种状态，静态和动态。
（2）静态病毒是指存储介质(如U盘、硬盘)上的计算机病毒，它没有被加载状态，不能执行病毒的传染和破坏功能。
（3）动态病毒是指已进入内存，正处于运行状态，它时刻监视系统的运行状态，一旦传染条件满足，即调用传染代码和破坏代码．使病毒得以扩散。
（4）计算机病毒的工作流程如图下所示。病毒通过第一次非授权加栽，引导模块被执行，病毒由静态变为动态。

3、病毒工作流程

2、蠕虫病毒的传播途径：
（1）操作系统和系统软件的漏洞：网络共享、域名解析、IE、RPC、IIS、SQL Server等。
（2）应用软件的漏洞：Office、Adobe Reader、QQ、MSN
（3）电子邮件：钓鱼邮件、邮件客户端软件。

3、蠕虫病毒的危害：
（1）蠕虫大量且快速的复制会占用大量网络带宽，造成网络拥塞甚至瘫痪。
（2）感染主机的系统管理员权限将被窃取。

4、蠕虫病毒的一般结构：
（1）传播模块：负责蠕虫的传播。
（2）隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。有些会主动攻击安全系统。
（3）目的功能模块：实现对计算机的控制、监视、窃取和破坏等功能。

3、防火墙定义：防火墙是一个或一组实施访问控制策略的系统。当用户决定需要使用何种水平的安全连接时，由防火墙来保证不允许出现其他超出此范围的访问行为。防火墙用来保证所有用户都遵守访问控制策略。

4、防火墙的目的是控制网络传输，这一点与其他网络设备一致。但与其他设备不同的是：防火墙必须考虑到不是所有的分组数据都是表里如一。

5、防火墙的设计目标：
（1）所有内外网之间的通信量都必须经过防火墙，即从物理上阻塞所有不经过防火墙的网络访问通道，有不同的配置方法可实现这一目标。
（2）只有被认可的通信量，通过本地安全策略进行定义后，才允许通过防火墙。
（3）防火墙对渗透应是免疫的。防火墙自身的安全性能和运行平台的安全性。

6、防火墙使用的通用技术：
（1）服务控制：确定可访问的Internet服务的类型，入站的或出站的。防火墙可以根据IP地址和TCP端口号对通信量进行过滤。
（2）方向控制：确定特定的服务请求可以发起并允许通过防火墙的流动方向。
（3）行为控制：控制怎样使用特定的服务。如防火墙可以使得外部只能访问一个本地WWW服务器的一部分信息。
（4）用户控制：根据赋予某个用户访问服务的权限来控制对一个服务的访问。这个特征典型地应用于防火墙边界以内的用户（本地用户），也可以应用于来自外部用户的进入通信量；后一种情况要求某种类型的安全鉴别技术。

7、防火墙的主要功能：
（1）防火墙定义了单个阻塞点，将未授权的用户隔离在被保护的网络之外，禁止潜在的易受攻击的服务进入或离开网络。
（2）防火墙提供了监视与安全有关事件的场所。在防火墙系统中可以实现审计和告警。
（3）防火墙是一些与安全无关的Internet功能的方便的平台。如：网络地址转换。
（4）防火墙可以用作VPN的平台。

8、防火墙的局限性：
（1）防火墙不能对绕过防火墙的攻击提供保护。
（2）防火墙不能对内部的威胁提供支持，例如心怀不满的雇员或不自觉地与外部攻击者合作的雇员。
（3）防火墙不能对病毒感染的程序或文件的传输提供保护。由于边界内部支持的操作系统和应用程序的不同性，采用防火墙来扫描所有进入的文件、电子邮件和报文来查找病毒是不现实的。

9、防火墙一般结构

来源：JinbaoSite0144