第9章__网络安全测试工具

网络管理必备工具软件精解(Windows版)主讲人刘晓辉第9章网络安全测试工具本章重点网络安全扫描工具系统安全设置工具9.1.1TCP和UDP连接测试—netstatNetstat命令作为Windows内置的一个工具拥有强大的功能，它可以查看本地TCP、ICMP、UDP、IP协议的使用，查看各个端口的开放情况，显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息（对于IP、ICMP、TCP和UDP协议）以及IPv6统计信息（对于IPv6、ICMPv6、通过IPv6的TCP以及通过IPv6的UDP协议）。使用时如果不带参数，netstat显示活动的TCP连接。Netstat命令语法NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]本地计算机的连接情况开放的活动端口显示以太网统计信息显示路由表信息显示TCP协议的连接状态9.1.2NetBIOS名称解析工具——nbtstatTCP/IP上的NetBIOS（NetBT）将NetBIOS名称解析成IP地址。TCP/IP为NetBIOS名称解析提供了很多选项，包括本地缓存搜索、WINS服务器查询、广播、DNS服务器查询，以及Lmhosts和Hosts文件搜索。Nbtstat语法nbtstat[-aRemoteName][-AIPAddress][-c][-n][-r][-R][-RR][-s][-S][Interval]9.1.3网络共享资源扫描——NetSuperNetSuper作为一款功能强大的网络共享资源扫描工具，可以在局域网中快速扫描计算机上的共享资源。2.NetSuper的其他功能实现NetSuper这款软件不仅具有扫描局域网共享的功能，而且还可以给网络内的其他计算机发消息，可以发送给一台计算机，也可以群发给所有计算机。如果想让计算机能够接收到局域内的消息，必须要开启Messenger服务，Windows2000默认是开启的，但WindowsXP与Windows2003默认是未开启的。9.1.4网络主机扫描——HostScan网络主机扫描（HostScan）是最强大的网络扫描软件，包括IP扫描、端口扫描和网络服务扫描。IP扫描可以扫描任意范围的IP地址（0.0.0.0）~（255.255.255.255），找到正在使用的网络主机；端口扫描可以扫描已发现主机的端口，范围可以从1~65535，获得已经打开的端口的信息，对端口分析可以知道是否有人在计算机上留下了后门；网络服务扫描可以扫描打开的端口，返回端口后台运行的网络服务信息。1.HostScan的运行HostScan安装以后便可运行使用，它自带有三种语言：英文、简体中文和繁体中文，安装以后默认使用英文。2.扫描IP地址和端口HostScan的IP地址扫描功能可以通过IP地址扫描出计算机的主机域名、使用的时间、TTL、次数、成功率，以及该计算机开放的端口等信息。3.扫描设置对HostScan还可以进行一些设置，如设置扫描次数、时间等。9.1.5网络扫描工具——SoftperfectnetworkscannerSoftPerfectNetworkScanner是一款扫描软件，它可以扫描局域网中的共享资源、网卡的MAC地址、开放的端口，以及开放了SNMP功能的计算机，使管理员很方便地了解网络的各种状况。1.扫描网络中的计算机在默认状态下，使用SoftPerfectNetworkScanner会扫描局域网内处于活动状态的计算机，并扫描出计算机的计算机名和共享文件夹。2.扫描设置使用默认状态扫描时只会扫描网络中的共享文件夹，如果想使它扫描MAC地址和开放的端口，必须对它进行设置。9.1.6IP扫描软件——AngryipscannerAngryIPScanner是一个很小的IP扫描软件，但它的功能却很强大，可以在最短的时间内扫描远程主机IP的运作状况。AngryIPScanner可以扫描的范围相当大，甚至可以从1.1.1.1一直扫到255.255.255.255，它可以Ping每个IP，并将结果整理完回报给管理员。AngryIPScanner可以扫描的项目很多，包括远端主机的名称、目前开启的端口号等，使管理员可以完全了解自己的局域网内计算机的运行状况，对于管理员来说实在是个不可多得的好帮手。9.1.7端口检测工具——PortQryWindowsSupportTools2003家族的一个成员。全称：PortQryCommandLinePortScanner。PortQry是一个可用于帮助解决TCP/IP连接问题的命令行实用工具。此实用工具报告本地计算机或远程计算机上目标TCP端口和用户数据报协议（UDP）端口的状态。PortQry2.0版还提供有关本地计算机端口使用情况的详细信息。PortQry语法portqry–nServerName[-pProtocol][-eport||-rstartport:endport||-oport,port,port...][-lfilename][-s][-i][-q]9.1.8漏洞检测——X-Scan1.扫描设置X-Scan主界面（1）设置扫描的主机名或IP地址（2）设置扫描选项2.开始扫描并查看扫描结果3.使用X-Scan的自带工具在X-Scan中除了上面提到的功能外还自带了一些工具供用户做辅助之用。物理地址查询ARP测试9.1.9安全检测软件——MBSAMicrosoftBaselineSecurityAnalyzer（MBSA）工具是一个强大的系统检测工具，该软件包含大部分的微软软件检测器，除了检测漏洞之外，还提供了详细的解决方案以及补丁下载地址。允许用户扫描一台或多台基于Windows的计算机，MBSA将扫描基于Windows的计算机，并检查操作系统和已安装的其他组件，以发现安全方面的配置错误，并及时通过推荐的安全更新进行修补。9.2.1访问控制列表工具——ShowaclsShowacls.exe是Windows资源工具包中提供的一个专用于查看用户或用户组访问权限的命令行工具。使用Showacls.exe可以屏蔽一些无关紧要的权限，从而可以更加详细地显示一些特殊权限。除此之外，Showacls.exe还允许管理员单独查看某个指定用户的访问权限。需要注意的是Showacls.exe必须工作在NTFS文件系统的卷上。Showacls语法showacls[/s][/u:Domain\User][FileSpec]9.2.2安全信息获取和导出工具——SubinaclSubinacl.exe是Windows资源工具包中提供的可以帮助管理员获取注册表、系统服务以及文件安全信息的命令行工具，并且可以将这些信息在用户与用户之间、域与域之间、工作组与工作组之间进行传递。例如当由于特殊需要将用户从原域退出并加入另外一个新域进行管理时，就可以使用Subinacl.exe将用户所有的安全信息转移至新域继续接受新域的管理。1.Subinacl命令语法Subinacl.exe命令主要有以下三种基本用法，分别可以附加不同类型的参数。用法一：获取和更改安全信息subinacl[/Option]/object_typeobject_name[[/Action[=Parameter]..]用法二：获取帮助信息subinacl/help[/full|Keyword]用法三：在Subinacl脚本环境中执行命令subinacl[/Option..]/playfileFileName9.2.3安全配置工具——Secedit1.secedit./analyze——分析安全设置（1）功能可通过将其与数据库中的基本设置相比较，分析一台计算机上的安全设置。（2）语法secedit/analyze/dbFileName[/cfgFileName][/logFileName][/quiet]2.secedit./configure——配置系统安全性（1）功能通过应用已存储模板，配置系统安全性。（2）语法secedit/configure/dbFileName[/cfgFileName][/overwrite][/areasarea1area2...][/logFileName][/quiet]3.secedit./export——导出安全模板（1）功能此命令从安全数据库中将存储的模板导出到安全模板文件中。（2）语法secedit/export[/mergedpolicy][/DBFileName][/CFGFileName][/areasarea1area2...][/logFileName][/quiet]4.secedit./import——导入安全模板（1）功能可将安全性模板导入到数据库，以便模板中指定的设置可应用到系统或作为分析系统的依据。（2）语法secedit/import/dbFileName.sdb/cfgFileName.inf[/overwrite][/areasArea1Area2...][/logFileName][/quiet]5.secedit./validate——验证安全模板语法（1）功能验证要导入到分析数据库或系统应用程序的安全模板的语法。（2）语法secedit/validateFileName