| 网络安全评估是指对受害系统进行分析,获取受害系统的危害状况。目前,网络安全评估的方法主要有以下几种。
|
|
|
|
|
| 利用恶意代码检测工具分析受害系统是否安装了病毒、木马、蠕虫或间谍软件。常用的恶意代码检测工具主要有D盾_Web查杀(英文名WebShellKill)、chkrootkit、rkhunter以及360杀毒工具等。下图显示了使用D盾_Web查杀来检测Web木马的过程。
|
|
|
|
|
|
|
|
|
| 通过漏洞扫描工具检查受害系统所存在的漏洞,然后分析漏洞的危害性。常用的漏洞扫描工具主要有端口扫描工具Nmap、Nessus等。
|
|
|
|
|
| 文件完整性检查的目的是发现受害系统中被篡改的文件或操作系统的内核是否被替换。例如,在UNIX系统上,容易被特洛伊木马代替的二进制文件通常有:telnet、in.telnetd、login、su、ftp、ls、ps、netstat、ifconfig、find、du、df、libc、sync、inetd和syslogd。除此之外,工作人员还需要检查所有被/etc/inetd.conf文件引用的文件,重要的网络和系统程序以及共享库文件。因此,对于UNIX系统,网络管理员可使用cmp命令直接把系统中的二进制文件和原始发布介质上对应的文件进行比较。或者利用MD5工具进行Hash值校验,其方法是向供应商获取其发布的二进制文件的Hash值,然后使用MD5工具对可疑的二进制文件进行检查。
|
|
|
|
|
| 攻击者进入受害系统后,一般会对系统文件进行修改,以利于后续攻击或控制。网络管理员通过对系统配置文件检查分析,可以发现攻击者对受害系统的操作。例如,在UNIX系统中,网络管理员需要进行下列检查:
|
|
|
| . 检查/etc/passwd文件中是否有可疑的用户。
|
|
|
| . 检查/etc/inet.conf文件是否被修改过。
|
|
|
| . 检查/etc/services文件是否被修改过。
|
|
|
| . 检查r命令配置/etc/hosts.equiv或者.rhosts文件。
|
|
|
| . 检查新的SUID和SGID文件,使用find命令找出系统中的所有SUID和SGID文件,如下:
|
|
|
|
|
| 对于Windows系统,除了利用系统自带的事件查看器之外,还可以使用第三方安全工具,如PCHunter、火绒剑等。如下图所示,通过使用火绒剑检查Windows系统的进程状况。
|
|
|
|
|
|
|
|
|
| 网卡混杂模式检查的目的是确认受害系统中是否安装了网络嗅探器。由于网络嗅探器可以监视和记录网络信息,入侵者通常会使用网络嗅探器获得网络上传输的用户名和密码。目前,已有软件工具可以检测系统内的网络嗅探器,例如UNIX平台下的CPM(Check Promiscuous Mode)、ifstatus等。
|
|
|
|
|
| 文件系统检查的目的是确认受害系统中是否有入侵者创建的文件。一般来说,入侵者会在受害系统中建立隐藏目录或隐藏文件,以利于后续入侵。例如,入侵者把特洛伊木马文件放在/dev目录中,因为系统管理员通常不去查看该目录,从而可以避免木马被发现。因此,在进行文件系统检查时,应特别检查一些名字非常奇怪的目录和文件,例如:...(三个点)、..(两个点)以及空白。
|
|
|
|
|
| 审查受害系统的日志文件,可以让应急响应人员掌握入侵者的系统侵入途径、入侵者的执行操作。以UNIX/Linux系统为例,通过utmp日志文件,可以确定当前哪些用户登录受害系统,并可以利用who命令读出其中的信息。常用于UNIX/Linux的日志分析工具有grep、sed、awk、find等。
|
|
|
