性爱有声小说在线收听,盗墓笔记小说全集,大主宰txt全集下载

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

全面掃描校園網(wǎng)漏洞（4）

漏洞掃描進(jìn)校園

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供巴里坤哈薩克網(wǎng)站建設(shè)、巴里坤哈薩克做網(wǎng)站、巴里坤哈薩克網(wǎng)站設(shè)計、巴里坤哈薩克網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、巴里坤哈薩克企業(yè)網(wǎng)站模板建站服務(wù)，十年巴里坤哈薩克做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

校園網(wǎng)主干為 10G，百兆到桌面，有信息點近6.7萬個，平均同時在線計算機(jī)1.5萬臺，高峰時超過2萬臺。隨著系統(tǒng)和應(yīng)用軟件的漏洞不斷被發(fā)現(xiàn)、利用，僵尸網(wǎng)絡(luò)、網(wǎng)頁掛馬等新型的網(wǎng)絡(luò)攻擊頻發(fā)，在綜合考慮漏洞檢測能力、掃描的準(zhǔn)確性、底層技術(shù)、生成的報告的特性、對漏洞的分析和建議、性能、易用性、風(fēng)險管理能力、安全性、服務(wù)、價格等因素后，我們在校園網(wǎng)上部署了一套企業(yè)級的主動式的、基于網(wǎng)絡(luò)的漏洞掃描系統(tǒng)，如圖2：

圖2 漏洞掃描系統(tǒng)

該漏洞掃描系統(tǒng)能夠檢測近2900種漏洞，最大并發(fā)掃描任務(wù)數(shù)可達(dá)10個，可以并發(fā)掃描90臺主機(jī)，每分鐘可以完成對10臺主機(jī)的掃描。我們每月1日對北京大學(xué)的B類網(wǎng)段162.105.0.0/16進(jìn)行周期性的漏洞掃描。掃描所用時間與漏洞掃描的任務(wù)配置有極大的相關(guān)性，插件使用越多，掃描深度越深，主機(jī)存活測試越詳細(xì)，掃描時間越長。此外端口掃描策略、方式、速度，是否探測弱口令，口令字典的大小也對掃描時間有極大的影響。

對于北京大學(xué)這樣的大型校園網(wǎng)，進(jìn)行一次B類網(wǎng)段掃描，根據(jù)任務(wù)參數(shù)配置的不同，最少需要4小時，最多需要7天才能完成。經(jīng)過多次測試，我們總結(jié)出一個兼顧掃描精確度和掃描時間的較優(yōu)配置：

最大并發(fā)掃描任務(wù)數(shù)設(shè)為8個，并發(fā)掃描主機(jī)數(shù)限制為70臺，掃描深度取中間值，主機(jī)存活測試采用ICMP PING和檢測21,22,23,25,80,443,445,139,3389,6000 這些TCP端口來判斷，端口掃描用普通速度，僅對約2200常用服務(wù)的端口用普通的連接方式來判斷是否開啟，然后再調(diào)用相應(yīng)的插件去檢測是否存在漏洞。采用上述參數(shù)配置掃描任務(wù)，完成一次B類網(wǎng)段的掃描時間基本在7～9小時，掃描結(jié)果的精確度也較高，對整體掌握網(wǎng)絡(luò)的安全狀況可以接受。

漏洞掃描發(fā)現(xiàn)的問題

通過多次對北京大學(xué)的B類網(wǎng)段162.105.0.0/16進(jìn)行全網(wǎng)掃描，可以總結(jié)下面幾條規(guī)律：

1. 每次能夠檢測到的存活主機(jī)數(shù)量在9000～13000臺左右，占該地址段IP數(shù)量的13.7％～19.8％。

2. 能夠準(zhǔn)確判定的操作系統(tǒng)類型占總數(shù)的18.3％～22.4％，其余的因為防火墻、安全加固等原因不能判定其操作系統(tǒng)類型及版本。其中Windows平臺占12.2％～13.6％，Linux平臺占4.9％～5.3％。

3. 高危的主機(jī)占6.1％～7.4％，如果是對提供公共服務(wù)的服務(wù)器網(wǎng)段進(jìn)行掃描，非常危險的主機(jī)一般就占到32.5％～34.6％，這是因為服務(wù)器網(wǎng)段上各種服務(wù)眾多，管理人員不會或沒有及時升級、打補(bǔ)丁。

4. 弱口令的問題比較嚴(yán)重。Windows系列的一般為Administrator沒有設(shè)置口令或是口令非常簡單，極易破解。應(yīng)用服務(wù)中MYSQL的問題最為嚴(yán)重，有很多root口令為空，攻擊者不需要任何技術(shù)就能直接修改數(shù)據(jù)。

5. Web應(yīng)用存在的漏洞一般為SQL 注入和XSS跨站攻擊，某些網(wǎng)站的注入點之多，讓人觸目驚心。

6. 系統(tǒng)級的漏洞掃描和Web應(yīng)用漏洞掃描最好采用各自專用的系統(tǒng)。目前雖然已經(jīng)有一些綜合的漏洞掃描系統(tǒng)，但是在測試過程中發(fā)現(xiàn)其側(cè)重點還是在傳統(tǒng)的系統(tǒng)級的漏洞掃描系統(tǒng)或Web應(yīng)用漏洞掃描系統(tǒng)上增加另一種功能，不過新增的功能由于技術(shù)儲備和研發(fā)能力的欠缺，檢測效果并不理想。

值得注意的是，漏洞掃描是進(jìn)行安全評估的必要手段，尤其在對大范圍IP進(jìn)行漏洞檢查的時候，進(jìn)行掃描評估能對被評估目標(biāo)進(jìn)行覆蓋面廣泛的安全漏洞查找，能較真實地反映主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備所存在的網(wǎng)絡(luò)安全問題和面臨的網(wǎng)絡(luò)安全威脅。

對全面掌握校園網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、聯(lián)網(wǎng)計算機(jī)的安全狀況非常必要，可根據(jù)系統(tǒng)提供的掃描報告，在入侵事件發(fā)生之前對相關(guān)信息資產(chǎn)進(jìn)行修補(bǔ)。我們在北京大學(xué)校園網(wǎng)上部署了漏洞掃描系統(tǒng)后，已經(jīng)對整個校園網(wǎng)進(jìn)行了多次漏洞掃描、安全評估，累計掃描計算機(jī)超過10萬次，發(fā)出整改建議824條，逐步建立起北京大學(xué)自己的安全監(jiān)控、安全服務(wù)體系，從底層、從根基上增強(qiáng)校園網(wǎng)的總體安全性。

校園網(wǎng)掃描漏洞的內(nèi)容就向大家介紹完了，希望打擊已經(jīng)理解。

本文名稱：全面掃描校園網(wǎng)漏洞（4）
文章轉(zhuǎn)載：http://m.fisionsoft.com.cn/article/dhpepih.html

新聞中心

其他資訊