اسکنر آسیب پذیری به طور خودکار حسابرسی امنیتی را خودکار می کند و می تواند نقش مهمی در امنیت فناوری اطلاعات خود داشته باشد، شبکه و وب سایت های شما را برای خطرات ایمنی مختلف اسکن کند. این اسکنرها همچنین می توانند فهرستی از اولویت های کسانی را که شما باید اصلاح کنید، تولید کنید و همچنین آسیب پذیری را توصیف کنید و اقدامات لازم را برای از بین بردن آنها ارائه دهید. همچنین ممکن است برخی از آنها بتوانند روند از بین بردن آسیب پذیری ها را به طور خودکار انجام دهند.
10 بهترین ابزار برای برآورد آسیب پذیری ها

• Comodo هکرها
• OpenVas
• nexpose community
• نیک
• Tripwire IP360.
• wireshark
• هواپیما
• حرفه ای نسه
• Retina CS Community.
• تحلیلگر امنیت پایه مایکروسافت (MBSA)

1. Comodo هکرها
   Comodo Hackerproof یک ابزار انقلابی برای آسیب پذیری های اسکن است که به شما اجازه می دهد تا بر مشکلات امنیتی غلبه کنید. در زیر برخی از مزایای اساسی است که شما می توانید از هکرها دریافت کنید:

• اسکن روزانه آسیب پذیری ها
• ابزار اسکن PCI شامل
• جلوگیری از درایو توسط حمله

2. OpenVas.
این یک ابزار باز است. کد منبعکه به عنوان یک سرویس مرکزی عمل می کند که ابزار آسیب پذیری را برای آسیب پذیری های اسکن و آسیب پذیری ها فراهم می کند.

• OpenVas از سیستم عامل های مختلف پشتیبانی می کند
• مکانیسم اسکن OpenVas به طور مداوم با استفاده از آزمون های آسیب پذیری شبکه به روز می شود.
• اسکنر OpenVas یک ابزار آسیب پذیری جامع است که مسائل امنیتی را در سرورها و سایر دستگاه های شبکه تعریف می کند.
• خدمات OpenVAS رایگان هستند و معمولا تحت مجوز GNU General Public License (GPL)

3. NExpose Community.
اسکنر آسیب پذیری Nexpose توسعه یافته توسط Rapid7 یک ابزار منبع باز است که برای اسکن آسیب پذیری ها استفاده می شود و طیف گسترده ای از چک های شبکه را انجام می دهد.

• NEXPOSE را می توان به ساختار metaspoilt ساخته شده است
• برای مثال، سن آسیب پذیری، به عنوان مثال، چه کیت مخرب در آن استفاده می شود، چه مزایایی استفاده می شود، و غیره D. و اصلاح مشکل بر اساس اولویت آن
• این می تواند به طور خودکار دستگاه های جدید را شناسایی و اسکن کند و در هنگام دسترسی به شبکه، آسیب پذیری را ارزیابی کند.
• او آسیب پذیری در زمان واقعی را کنترل می کند، خود را با آخرین خطرات با داده های جدید آشنا می کند.
• اکثر اسکنرهای آسیب پذیری معمولا خطرات را با استفاده از مقیاس متوسط \u200b\u200bیا بالا یا پایین طبقه بندی می کنند

4. نیک
نیکوت یک اسکنر وب بسیار محبوب است که برای ارزیابی مشکلات احتمالی و آسیب پذیری ها استفاده می شود.

• همچنین برای بررسی نسخه های قدیمی از سرور استفاده می شود، و همچنین برای بررسی هر گونه مشکل خاص که بر عملکرد سرور تاثیر می گذارد.
• نیکو برای انجام آزمایش های مختلف در سرورهای وب استفاده می شود تا عناصر مختلفی مانند چندین فایل خطرناک را اسکن کند.
• این ابزار "آرام" نیست و برای تست سرور وب در حداقل زمان استفاده می شود
• این مورد برای اسکن پروتکل های مختلف مانند HTTPS، HTTP و غیره استفاده می شود. این ابزار به شما اجازه می دهد چند پورت چند سرور خاص را اسکن کنید.

5. Tripwire IP360
Tripwire IP360، توسعه یافته توسط TripWire IC، بهترین راه حل برای ارزیابی آسیب پذیری، که توسط شرکت های مختلف برای مدیریت خطرات ایمنی خود استفاده می شود.

• این از ارائه گسترده ای از شبکه ها برای شناسایی تمام آسیب پذیری ها، پیکربندی ها، برنامه ها، میزبان های شبکه و غیره استفاده می کند.
• از استانداردهای باز برای کمک به مدیریت ریسک و آسیب پذیری در چندین فرآیند کسب و کار استفاده می کند.

6. Wireshark.
Wireshark - تجزیه و تحلیل به طور گسترده ای استفاده می شود پروتکل های شبکهکه به عنوان ابزار قدرتمند ترین ابزار برای متخصصان ایمنی محسوب می شود.

• Wireshark در جریان های مختلف مانند آژانس های دولتی، شرکت ها، موسسات آموزشی و غیره استفاده می شود تا به شبکه در سطح پایین نگاه کند
• او مشکلات را در اینترنت ثبت می کند و تجزیه و تحلیل آفلاین را انجام می دهد
• این کار بر روی سیستم عامل های مختلف مانند لینوکس، مسو، ویندوز، سولاریس و غیره کار می کند.

7. Aircrack
Aircrack، همچنین به عنوان Aircrack-NG شناخته می شود، مجموعه ای از ابزار مورد استفاده برای ارزیابی امنیت شبکه WiFi است.

• ابزار در حسابرسی شبکه استفاده می شود
• این سیستم عامل های مختلفی مانند لینوکس، OS X، Solaris، NetBSD، ویندوز و غیره را پشتیبانی می کند.
• این تمرکز بر مناطق مختلف امنیتی WiFi، مانند بسته های نظارت و داده ها، رانندگان تست و کارت، حملات تکراری، هک کردن و غیره تمرکز دارد.
• با استفاده از Aircrack شما می توانید کلید های گم شده را دریافت کنید، بسته های داده را ضبط کنید

8. Nessus Professional
ابزار Nessus یک اسکنر آسیب پذیری ثبت شده و ثبت اختراع شده توسط امنیت شبکه قابل اعتماد است.

• این مانع از نفوذ شبکه از هکرها با ارزیابی آسیب پذیری ها در آینده نزدیک می شود
• این می تواند آسیب پذیری ها را اسکن کند که به شما اجازه می دهد تا اطلاعات محرمانه را از سیستم جدا کنید
• این طیف گسترده ای از سیستم عامل، DBS، برنامه های کاربردی و چندین دستگاه دیگر را در میان زیرساخت های ابر، شبکه های مجازی و فیزیکی پشتیبانی می کند.
• این نصب شده توسط میلیون ها کاربر در سراسر جهان برای ارزیابی آسیب پذیری، مشکلات پیکربندی و غیره نصب شده است.

9. Retina CS Community
Retina CS یک کنسول منبع باز و یک صفحه وب است که به مدیریت آسیب پذیری ها کمک کرده و متمرکز شده است.

• با توجه به قابلیت های آن، مانند گزارش دادن در پیکربندی، اصلاح و پیکربندی پیکربندی، Retina CS برآورد آسیب پذیری بین پلت فرم را فراهم می کند.
• این شامل ارزیابی آسیب پذیری اتوماتیک برای پایگاه داده، برنامه های کاربردی وب، ایستگاه های کاری و سرورها است
• Retina CS یک برنامه منبع باز است که پشتیبانی کامل را فراهم می کند. رسانه های مجازی، مانند ادغام VCenter، اسکن برنامه های مجازی، و غیره

10. تجزیه و تحلیل امنیت پایه مایکروسافت (MBSA)
MBSA یک ابزار رایگان مایکروسافت است که ایده آل برای امنیت است. ویندوز کامپیوتر بر اساس مشخصات یا توصیه های تعیین شده توسط مایکروسافت.

• MBSA اجازه می دهد تا شما را به افزایش سطح امنیت، بررسی یک گروه از کامپیوتر برای هر پیکربندی نادرست، به روز رسانی های گمشده و هر تکه امنیتی و غیره
• این می تواند تنها به روز رسانی برای سیستم امنیتی اسکن، به روز رسانی بسته ها و بسته های ذخیره سازی، ترک به روز رسانی های انتقادی و پیشرفته.
• این توسط سازمان های اندازه متوسط \u200b\u200bو کوچک برای مدیریت ایمنی شبکه های آن استفاده می شود
• پس از اسکن کردن سیستم MBSA چندین راه حل یا پیشنهادات مربوط به حذف آسیب پذیری ها را ارائه می دهد

اسکنر امنیتی: تشخیص آسیب پذیری ها در شبکه، مدیریت به روز رسانی ها و پچ، اصلاح خودکار مشکلات، ممیزی نرم افزار و سخت افزار. GFI امنیت شبکه "\u003e امنیت شبکه 2080

اسکنر امنیت شبکه و مدیریت به روز رسانی متمرکز

GFI Languard به عنوان یک مشاور امنیتی مجازی کار می کند:

- مدیریت به روز رسانی برای ویندوز ®، Mac OS ® و لینوکس ®

- شناسایی آسیب پذیری ها در رایانه ها و دستگاه های موبایل

- حسابرسی دستگاه های شبکه و نرم افزار را انجام می دهد

GFI Languard - اسکنر امنیتی برای شبکه های هر مقیاس: پورت های اسکنر شبکه و آسیب پذیری ها، اسکنر امنیتی، سوراخ سوراخ را به طور خودکار پیدا می کند

GFI Languard - اسکنر امنیتی برای شبکه های هر مقیاس: پورت های اسکنر شبکه و آسیب پذیری ها، اسکنر امنیتی، سوراخ سوراخ را به طور خودکار پیدا می کند

GFI Languard چیست؟

بیش از آسیب پذیری اسکنر!

GFI Languard یک اسکنر امنیتی است: تشخیص، تعریف و اصلاح آسیب پذیری ها در شبکه. اسکن پورت کامل، دسترسی به به روز رسانی نرم افزار لازم برای محافظت از شبکه، و همچنین ممیزی نرم افزار و سخت افزار - همه این امکان از یک پانل کنترل تنها وجود دارد.

اسکنر پورت

پروفایل های اسکن به شدت برداشت شده به شما این امکان را می دهد که هر دو اسکن کامل از تمام پورت ها را انجام دهید و به سرعت آنها را بررسی کنید که معمولا از نرم افزار نامطلوب و مخرب استفاده می کنند. GFI Languard چندین گره را به طور همزمان اسکن می کند، زمان مورد نیاز را کاهش می دهد و سپس آن را مقایسه می کند پورت های شلوغ با انتظار.

به روز رسانی ها و تکه های

قبل از نصب آخرین به روز رسانی، گره های شما به طور کامل محافظت نشده اند، زیرا آخرین آسیب پذیری هایی است که تکه های موضعی و به روز رسانی های موضعی را نزدیک می کند، هکرها برای نفوذ به شبکه شما استفاده می شود. بر خلاف ابزار داخلی، GFI Languard نه تنها سیستم عامل را بررسی می کند، بلکه همچنین نرم افزارهای محبوب، که آسیب پذیری های آن معمولا برای هک کردن استفاده می شود: Adobe Acrobat / Reader، فلش پلیر.، اسکایپ، چشم انداز، مرورگرها، رسولان.

گره های حسابرسی

GFI Languard برای شما یک لیست دقیق از نرم افزار نصب شده و سخت افزار را در هر یک از رایانه ها آماده می کند برنامه های گم شده، و همچنین دستگاه های غیر ضروری متصل. نتایج اسکن چندگانه را می توان برای شناسایی تغییرات در نرم افزار و سخت افزار تنظیم کرد.

آخرین اطلاعات تهدید

هر اسکن پس از به روز رسانی داده ها در مورد آسیب پذیری انجام می شود، تعداد آنها در GFI Languard قبلا بیش از 50،000 است. تامین کنندگان اطلاعات تهدید، فروشندگان خود نرم افزار هستند، و همچنین لیست های اثبات شده از SANS و OVAL - شما همیشه از آخرین تهدیدات، از جمله Heartbleed، Clandestine، Shellshock، Poodle، Sandworm و دیگران محافظت می شود.

اصلاح خودکار

پس از دریافت یک گزارش دقیق از نتایج اسکن با توصیف هر آسیب پذیری و پیوندهایی به ادبیات اضافی، می توانید بسیاری از تهدیدات را به دکمه "تعمیر" حل کنید: پورت ها بسته می شوند، کلید های رجیستری ثابت می شوند، تکه های نصب شده اند به روز شده، برنامه های ممنوعه حذف شده، و برنامه های گم شده نصب خواهد شد.

به عنوان یک قاعده، آزمایش نفوذ با آسیب پذیری های اسکن آغاز می شود. یک اسکنر خوب شامل همیشه پایه مربوط به آسیب پذیری های معروف است و شبکه شما را اسکن می کند، گزارش می دهد که یک یا چند. کار بیشتر ما این است که بررسی کنیم که آیا هر کدام از آسیب پذیری های یافت شده واقعا به کار می روند، چرا که اسکنرهای آسیب پذیری اغلب پاسخ های نادرست را ارائه می دهند.

یکی از محبوب ترین آسیب پذیری ها در بازار اسکنر آسیب پذیری Nessus است. این تبدیل به یک نوع استاندارد برای اسکنرهای آسیب پذیر شده است. در ابتدا، او به عنوان یک پروژه آغاز شد متن باز. بعد، آن را توسط قابل اعتماد به دست آورد، و در حال حاضر آن محصول تجاری (نسخه حرفه ای) است. با وجود این، اسکنر Nessus هنوز یک نسخه "خانه" دارد که به صورت رایگان توزیع شده است، اما دارای محدودیت در 16 آدرس IP است. این نسخه این است که ما در این دستورالعمل برای استفاده در نظر خواهیم گرفت.

به عنوان یک "هکر"، پس از اسکن کردن ما دریافت می کنیم فهرست کامل آسیب پذیری هایی که فقط باید سوء استفاده کنید. متأسفانه، اسکنرهای آسیب پذیری بسیار "پر سر و صدا" هستند و مدیران هوشیار می توانند کار خود را تشخیص دهند. با این وجود، همه سازمان ها چنین مدیران ندارند.

نکات مهم در مورد اسکنرهای آسیببندی را فراموش نکنید. آنها نمی توانند آسیب پذیری های 0 روز را شناسایی کنند. مانند محصولات نرم افزاری آنتی ویروس، پایگاه های خود را باید هر روز به روز شوند تا موثر باشند.

هر پادزهر خود احترام باید با اسکنر نیسان آشنا باشد. بسیاری از سازمان های بسیار بزرگ در سراسر جهان از آن در این مجموعه استفاده می کنند. امنیت اطلاعات.

به تازگی، حتی دولت ایالات متحده شروع به استفاده از آن برای اسکن آسیب پذیری ها کرد. تقریبا هر دفتر فدرال و پایگاه نظامی ایالات متحده در سراسر جهان اکنون Nessus را اعمال می کند.

بیایید نگاهی به این برنامه در کار کنیم!

مرحله 1. دانلود اسکنر Nessus به صورت رایگان

پیدا کردن یک نسخه رایگان خانه از خانه Nessus در وب سایت قابل اعتماد آسان نیست. بنابراین، ما برای شما یک لینک مستقیم آماده کردیم.

ثبت نام نیاز به یک نسخه رایگان دارد، بنابراین شما باید آدرس ایمیل خود را مشخص کنید تا کد فعال سازی را دریافت کنید.

مرحله 2. اجرای Nessus

پس از تکمیل نصب، مرورگر پیش فرض با پیام زیر نشان داده شده است. Nessus بر روی معماری سرویس گیرنده سرور ساخته شده است. شما سرور را در localhost نصب کردید و مرورگر به عنوان یک مشتری عمل می کند.

به احتمال زیاد یک پیام دریافت خواهید کرد که در آن شما می گویید: "اتصال شما امن نیست". روی "Advanced" کلیک کنید.

سپس استثنائات را برای اتصال Nessus به 8834 پورت اضافه کنید.

مرحله 3. راه اندازی خانه Nessus

تقریبا همه چیز آماده جستجو برای آسیب پذیری است!

شما باید یک حساب کاربری ایجاد کنید. او باید مشخص شود که به Nessus وارد شود.

پس از ورود به ورود و رمز عبور خود، باید محصول را فعال کنید. ما یک نامه با یک کد فعال سازی در ایمیل خود پیدا می کنیم و آن را به فیلد مناسب در صفحه Nessus خود وارد می کنیم.

هنگامی که انجام می شود، Nessus شروع به دانلود تمام به روز رسانی های فعلی و پلاگین های مورد نیاز برای جستجو برای آسیب پذیری در شبکه شما. این روند ممکن است کمی طول بکشد.

مرحله 4. آسیب پذیری های اسکن

هنگامی که Nessus توسط به روز رسانی تکمیل می شود، به عنوان مثال زیر نشان داده می شود. روی "اسکن جدید" کلیک کنید.

این یک صفحه جدید را باز می کند که در آن شما می توانید نوع اسکن را انتخاب کنید. توجه داشته باشید، همیشه مدل های تهدید کننده مربوطه امروز وجود دارد.

بیایید بر روی "Scan Basic Network" کلیک کنیم.

یک صفحه باز است، مانند موارد زیر که از شما خواسته می شود که نام اسکن خود را مشخص کنید (شما می توانید هر گونه روشن برای شما مشخص کنید، به عنوان مثال، اولین اسکن). شما همچنین باید گره هایی را که ما اسکن را مشخص می کنید مشخص کنید. شما می توانید کل زیر شبکه IP را مشخص کنید 192.168.1.0/24. روی "ذخیره" کلیک کنید.

حالا روی دکمه "راه اندازی" کلیک کنید تا آسیب پذیری های اسکن را شروع کنید.

مرحله 5. مشاهده نتایج اسکن

با توجه به نتایج اسکن، ما لیستی را با آدرس های IP و خطرات مربوطه دریافت می کنیم. خطرات یک رمزگذاری رنگی دارند.

روی "آسیب پذیری ها" در منوی بالا کلیک کنید تا تمام آسیب پذیری های شناسایی شده در شبکه را نمایش دهد.

اگر بر روی یک آسیب پذیری خاص کلیک کنید، ما بیشتر خواهیم شد اطلاعات دقیق. در زیر نمونه ای از آسیب پذیری "Codemeter" است.

مهم است که توجه داشته باشید که علاوه بر توصیف آسیب پذیری، این گزارش همچنین راهی برای اصلاح آن و بسته شدن (بخش محلول) دارد.

نتیجه

اسکنر آسیب پذیری Nessus از قابل اعتماد حتی در یک نسخه رایگان خانه بسیار آسان برای استفاده، اما در عین حال یک اسکنر آسیب پذیری قدرتمند است. مزیت اصلی آن این است که در آن شما همیشه می توانید مدل های تهدید فعلی را پیدا کنید، امکان کارکرد آن به سرعت و کیفی شبکه خود را بررسی کنید.

به یاد داشته باشید که موفقیت امنیت اطلاعات با کیفیت بالا یک حسابرسی منظم است!

اما فراموش نکنید که اسکن کردن شبکه های دیگر افراد ممکن است عواقب ناشی از قانون را داشته باشند!

من جزئیات را با انواع مختلف آسیب پذیری معرفی کردم، اما اکنون وقت آن است که با اسکنرهای این آسیب پذیری ها آشنا شویم.

اسکنرهای آسیب پذیری نرم افزارها یا سخت افزار هستند که به تشخیص و نظارت کمک می کنند کامپیوترهای شبکهاجازه می دهد تا شما را به اسکن شبکه ها، کامپیوتر و برنامه های کاربردی برای تشخیص مشکلات احتمالی در سیستم امنیتی، ارزیابی و عیب یابی آسیب پذیری ها.

اسکنرهای آسیب پذیری به شما اجازه می دهند چک کنید برنامه های کاربردی مختلف در سیستم برای حضور "سوراخ" که مهاجمان می توانند از آن استفاده کنند. به معنای پایین ترین سطح می تواند مورد استفاده قرار گیرد، مانند اسکنر پورت، برای شناسایی و تجزیه و تحلیل برنامه های کاربردی و پروتکل های موجود در سیستم.

بنابراین، اسکنر ها به منظور حل وظایف زیر هدف قرار می گیرند:

• شناسایی و تجزیه و تحلیل آسیب پذیری ها؛
• موجودی منابع مانند سیستم عامل، نرم افزار و دستگاه شبکه؛
• تشکیل گزارش ها حاوی توصیف آسیب پذیری ها و گزینه های حذف.

چگونه کار می کند؟

اسکنرهای آسیب پذیری با کار خود از دو مکانیسم اصلی استفاده می کنند.
اولین - صدا خیلی سریع نیست، اما دقیق است. این یک مکانیسم تجزیه و تحلیل فعال است که حملات تقلید را راه اندازی می کند، در نتیجه بررسی آسیب پذیری. در طول پروب، روش های اجرای حملات که به تایید حضور آسیب پذیری کمک می کند و تشخیص داده های قبلا شناسایی نشده است اعمال می شود.

دومین مکانیسم - اسکن - سریعتر، اما نتایج دقیق تر را ارائه می دهد. این یک تحلیل منفعل است که در آن اسکنر به دنبال آسیب پذیری است بدون تایید حضور آن با استفاده از نشانه های غیر مستقیم. با استفاده از اسکن تعیین می شود پورت های باز و سرمقاله های مرتبط جمع آوری شده. آنها بیشتر در مقایسه با جدول قوانین تعریف دستگاه های شبکه، سیستم عامل و ممکن است "سوراخ" مقایسه شوند. پس از مقایسه، اسکنر امنیتی در مورد حضور یا عدم آسیب پذیری گزارش می شود.

اکثر اسکنرهای امنیت شبکه مدرن در اصول کار می کنند:

• مجموعه اطلاعات شبکه، شناسایی تمام دستگاه های فعال و خدمات فعال بر روی آنها؛
• تشخیص آسیب پذیری های بالقوه؛
• تایید آسیب پذیری های انتخاب شده، که روش های خاص مورد استفاده قرار می گیرند و حملات شبیه سازی شده اند؛
• گزارش نویسی؛
• حذف خودکار آسیب پذیری ها. این مرحله همیشه در اسکنرهای امنیتی شبکه اجرا نمی شود، اما اغلب در اسکنرهای سیستم رخ می دهد.

بهترین اسکنرهای آسیب پذیری

در حال حاضر بیایید تجزیه و تحلیل ترین اسکنر های مربوط به رتبه بندی کارشناس.

nessus

این پروژه در سال 1998 راه اندازی شد و در سال 2003، توسعه دهنده امنیت شبکه های قابل اعتماد، یک اسکنر امنیت شبکه را ایجاد کرد. پایه به طور مرتب به روز شده از آسیب پذیری ها، سادگی در نصب و استفاده، سطح بالایی از دقت، مزایای آن نسبت به رقبا است. یک ویژگی کلیدی استفاده از پلاگین ها است. به عبارت دیگر، هر آزمون نفوذ در داخل برنامه محکم نیست، اما در قالب پلاگین پلاگین کشیده می شود. افزونه ها در 42 توزیع می شوند از انواع مختلف: برای انجام یک پایه، می توانید هر دو پلاگین جداگانه و تمام پلاگین های تعریف شده را فعال کنید - به عنوان مثال، برای انجام تمام چک های محلی در سیستم اوبونتو. یک نقطه جالب - کاربران می توانند تست های خود را با استفاده از یک زبان اسکریپت خاص بنویسند.

Nessus یک اسکنر آسیب پذیری عالی است. اما او دو مشکل دارد. اول - هنگامی که گزینه "Safe Checks" غیر فعال است، برخی از آزمایشات آسیب پذیری می تواند منجر به اختلالات در عملکرد سیستم های اسکن شده شود. دوم قیمت است مجوز سالانه می تواند هزینه 114 هزار روبل باشد.

Symantec Security Check.

اسکنر تولید کننده رایگان از همان نام. توابع اصلی تشخیص ویروس ها و تروجان ها، کرم های اینترنتی هستند برنامه های مخرب، جستجو برای آسیب پذیری ها در شبکه محلی. این یک محصول آنلاین است که شامل دو بخش است: اسکن امنیتیکه سیستم امنیتی را بررسی می کند و تشخیص ویروس.انجام یک بررسی کامل کامپیوتر برای ویروس ها. این به سرعت و به آسانی نصب شده است، از طریق مرورگر کار می کند. با توجه به آخرین بررسی ها، این اسکنر شبکه بهتر است برای بررسی اضافی استفاده شود.

xspider

برنامه XSpider که، با توجه به برنامه توسعه دهنده، می تواند یک سوم از آسیب پذیری فردا را شناسایی کند. ویژگی کلیدی این اسکنر توانایی تشخیص است حداکثر تعداد حتی قبل از دیدن هکرها، "DIPS" در شبکه حتی در شبکه. در این مورد، اسکنر بدون نیاز به یک نرم افزار اضافی از راه دور کار می کند. پس از کار، اسکنر یک گزارش کامل و راهنمایی های مربوط به حذف "سوراخ" را ارسال می کند. هزینه مجوز این اسکنر از 11 هزار روبل برای چهار میزبان در سال آغاز می شود.

قیافه

اسکنر چند منظوره آسیب پذیری ها. این گزارش های گسترده ای را ارائه می دهد که عبارتند از:

• ارزیابی سطح بحرانی آسیب پذیری؛
• برآورد زمان مورد نیاز برای از بین بردن آنها؛
• بررسی میزان تاثیر آنها بر کسب و کار؛
• تجزیه و تحلیل روند های امنیتی

پلت فرم Cloud Cloud Cloud و مجموعه ای از برنامه های ساخته شده به شرکت ها اجازه می دهد تا شرکت های امنیتی را ساده تر کنند و هزینه های انطباق با الزامات مختلف را کاهش دهند، در حالی که دادن اطلاعات مهم درباره امنیت و اتوماسیون تمام طیف وظایف ممیزی، کنترل پیچیده و حفاظت از سیستم های فناوری اطلاعات و برنامه های کاربردی وب. با استفاده از این نرم افزار، می توانید وب سایت های شرکتی را اسکن کنید و هشدار خودکار و گزارش های خود را برای تشخیص به موقع و از بین بردن تهدیدات دریافت کنید.

سریع 7 نسیم

Rapid 7 یکی از سریع ترین شرکت های رو به رشد است که متخصص در امنیت اطلاعات در جهان است. این او بود که اخیرا چارچوب MetasPloit پروژه را به دست آورد، و این دست او بود که پروژه بانکی بود. هزینه "ورود" برای استفاده نسخه تجاری بدون آنکه 3000 دلار کوچک می شود، اما برای علاقه مندان، یک نسخه اجتماعی با امکانات کمی برش وجود دارد. این نسخه رایگان به راحتی با metasploit یکپارچه شده است. طرح کار کاملا پیچیده است: Nexpose ابتدا شروع می شود، سپس Metasploit Console (Msfconsole)، پس از آن شما می توانید فرایند اسکن را اجرا کنید و آن را با تعدادی از دستورات (nexpose_connect، nexpose_scan، nexpose_discover، nexpose_dos و دیگران) تنظیم کنید. شما می توانید عملکرد ماژول های METASPLOIT دیگر را ترکیب کنید.

X-Scan

در خارج از کشور، X-Scan بیشتر از خود ساخته شده خود ساخته شده به عنوان کسی به عنوان کسی برای نیازهای خود را و تحت فشار به مردم در شنا رایگان است. این ممکن است چنین محبوبیتی را دریافت نکرده باشد، اگر از اسکریپت های Nessus پشتیبانی نمی شود که با استفاده از ماژول اسکریپت Nessus-Attack-Scripts فعال شوند. از سوی دیگر، ارزش یک گزارش اسکن دارد و همه شک و تردید در مورد سودمندی اسکنر به پس زمینه منتقل می شود. با توجه به یکی از استانداردهای رسمی IB، این قطعا صادر نخواهد شد، اما قطعا در مورد شبکه بسیار زیاد خواهد بود.

اپیدمی مشکل کرم های شبکه مربوط به هر شبکه محلی دیر یا زود، زمانی که یک شبکه یا کرم پستی در LAN نفوذ می کند، وضعیت ممکن است رخ دهد، که توسط آنتی ویروس مورد استفاده قرار نمی گیرد. ویروس شبکه به شبکه های کاربردی که در زمان عفونت آسیب پذیری سیستم عامل یا از طریق منابع قابل دسترس به اشتراک گذاشته شده، بسته می شود. ویروس پستی، به شرح زیر از نام، توسط ایمیل اعمال می شود، ارائه می شود که توسط آنتی ویروس مشتری و آنتی ویروس مسدود نمی شود سرور ایمیل. علاوه بر این، اپیدمی در LAN را می توان از داخل به عنوان یک نتیجه از یک فرد سازماندهی کرد. در این مقاله، ما روش های عملی تجزیه و تحلیل عملیاتی کامپیوترهای LAN را با استفاده از بودجه های مختلف، به ویژه با کمک ابزار نویسنده AVZ بررسی خواهیم کرد.

فرمول بندی مشکل

در صورت تشخیص اپیدمی یا فعالیت خاصی در شبکه در شبکه، مدیر باید به سرعت حداقل سه وظیفه را حل کند:

• تشخیص رایانه های آلوده در شبکه؛
• نمونه هایی از یک برنامه مخرب را برای ارسال به آزمایشگاه ضد ویروس پیدا کنید و یک استراتژی مبارزه با آن را توسعه دهید؛
• اقدامات لازم را برای جلوگیری از گسترش ویروس در LAN و تخریب آن بر روی رایانه های آلوده انجام دهید.

در مورد یک فعالیت داخلی، مراحل اصلی تجزیه و تحلیل یکسان است و اغلب به نیاز به شناسایی یک مالک داخلی از نرم افزار خارجی در رایانه های LAN می شود. به عنوان مثال، این نرم افزار می تواند به نام Utilities نامیده شود اداره از راه دور, جاسوسی صفحه کلید و بوک مارک های مختلف تروجان ها.

راه حل هر یک از وظایف را در نظر بگیرید.

جستجو برای رایانه های آلوده

برای جستجوی رایانه های آلوده در شبکه شما می توانید حداقل سه تکنیک را استفاده کنید:

• تجزیه و تحلیل اتوماتیک از راه دور کامپیوتر - دریافت اطلاعات در مورد فرآیندهای در حال اجرا، کتابخانه های دانلود شده و رانندگان، جستجو برای ویژگی ها - به عنوان مثال، فرآیندها یا فایل ها با نام های مشخص شده؛
• تحقیقات ترافیک PC با استفاده از Sniffer - این روش با این حال، برای گرفتن هرزنامه ها، کرم های پستی و شبکه بسیار موثر است، اما پیچیدگی اصلی در استفاده از Sniffer مربوط به این واقعیت است که LAN مدرن بر اساس پایگاه داده سوئیچ ها است و به عنوان یک نتیجه، مدیر نمی تواند نظارت بر کل ترافیک شبکه. مشکل به دو روش حل شده است: اجرای یک Sniffer در روتر (که به شما اجازه می دهد تا مبادله داده های داده های PC را با اینترنت نظارت کنید) و استفاده از توابع نظارت سوئیچ ها (بسیاری از سوئیچ های مدرن به شما اجازه می دهد تا پورت نظارت را اختصاص دهید به کدام ترافیک یک یا چند پورت سوئیچ مشخص شده توسط مدیر تکراری؛
• بارگیری در شبکه - در این مورد، بسیار راحت است که از سوئیچ های هوشمند استفاده کنید که اجازه می دهد نه تنها برای ارزیابی بار، بلکه همچنین از راه دور پورت های مشخص شده توسط مدیر را غیرفعال کنید. این عملیات به طور قابل توجهی ساده شده است اگر مدیر کارت شبکه دارای داده هایی باشد که رایانه های شخصی به پورت های متناظر متناظر متصل می شوند و جایی که آنها قرار دارند؛
• استفاده از تله ها (HoneyPot) - در شبکه محلی، به شدت توصیه می شود که چندین تله ایجاد کنید که به مدیر اجازه می دهد تا اپیدمی را به موقع تشخیص دهد.

تجزیه و تحلیل خودکار کامپیوتر در شبکه

تجزیه و تحلیل خودکار کامپیوتر را می توان به سه مرحله اصلی کاهش داد:

• انجام یک مطالعه کامل PC - فرآیندهای در حال اجرا، کتابخانه ها و رانندگان دانلود شده، Autorun؛
• انجام یک نظرسنجی عملیاتی - به عنوان مثال، جستجو برای فرایندهای مشخص یا فایل ها؛
• اشیاء قرنطینه با توجه به معیارهای خاص.

تمام وظایف ذکر شده را می توان با استفاده از ابزار AVZ نویسنده حل کرد، که برای اجرای از پوشه شبکه در سرور طراحی شده و از زبان اسکریپت برای معاینه خودکار PC پشتیبانی می کند. برای شروع AVZ در رایانه های کاربر نیاز دارید:

1. قرار دادن AVZ در باز برای خواندن یک پوشه شبکه در سرور.
2. ایجاد زیر شاخه های ورود و قرآن در این پوشه و اجازه دادن به کاربران به آنها در آنها ثبت نام کنید.
3. با استفاده از نرم افزار REXEC یا اسکریپت ورود به سیستم، AVZ را بر روی رایانه های LAN اجرا کنید.

راه اندازی AVZ در مرحله 3 باید با چنین پارامترها انجام شود:

\\\\ my_server \\ avz \\ avz.exe priority \u003d -1 nw \u003d y nq \u003d y hiddenmode \u003d 2 script \u003d \\\\ my_server \\ avz \\ my_script.txt

در این مورد، اولویت \u003d -1 پارامتر اولویت را کاهش می دهد فرآیند AVZ، پارامترهای nw \u003d y و nq \u003d y، قرنطینه را به حالت "شروع شبکه" تغییر می دهند (در این مورد، یک زیر شاخه در پوشه قرنطینه برای هر کامپیوتر ایجاد می شود، نام آن با نام شبکه PC همخوانی دارد)، Hiddenmode \u003d 2 تجویز برای ممنوعیت دسترسی کاربر به GUI و مدیریت AVZ، و در نهایت، مهم ترین اسکریپت پارامتر نام کامل اسکریپت را با دستورات که AVZ بر روی کامپیوتر کاربر اجرا می شود، تنظیم می کند. زبان اسکریپت AVZ برای استفاده بسیار ساده است و تنها بر روی حل وظایف بررسی کامپیوتر و درمان آن متمرکز است. برای ساده سازی فرآیند نوشتن اسکریپت، می توانید از یک ویرایشگر اسکریپت تخصصی استفاده کنید که حاوی یک نوک عملیاتی است، یک جادوگر از ایجاد اسکریپت های معمولی و ابزار تأیید اسکریپت نوشته شده بدون شروع آن (شکل 1).

شکل. 1. ویرایشگر اسکریپت Avz

سه اسکریپت معمولی را در نظر بگیرید که می تواند در طول مبارزه با اپیدمی مفید باشد. اول، ما به یک اسکریپت برای مطالعه PC نیاز داریم. وظیفه اسکریپت این است که سیستم را مطالعه کنیم و یک پروتکل را با نتایج ارائه شده ایجاد کنیم پوشه شبکه. اسکریپت فرم زیر را دارد:

ActivitalWatchdog (60 * 10)؛

// شروع اسکن و تجزیه و تحلیل

// مطالعه سیستم

executustyscheck (getavzdirectory +

'\\ log \\' + getcomputername + '_ log.htm')؛

// تکمیل AVZ

در طول اجرای این اسکریپت در پوشه ورود به سیستم (فرض می شود که آن را در دایرکتوری AVZ در سرور ایجاد شده است و برای کاربران کاربر در دسترس است) توسط فایل های HTML با نتایج تحقیقات کامپیوتر شبکه ایجاد می شود و اطمینان حاصل شود منحصر به فرد در نام پروتکل، نام کامپیوتر تحت مطالعه فعال شده است. در ابتدای اسکریپت، یک فرمان برای روشن شدن تایمر گارد وجود دارد که PCCC AVZ را در 10 دقیقه مجبور خواهد کرد اگر اسکریپت در طول اجرای اسکریپت رخ دهد.

با این حال، پروتکل AVZ برای دستیابی به صورت دستی مناسب است، اما برای تجزیه و تحلیل خودکار کوچک است. علاوه بر این، مدیر اغلب نام فایل برنامه مخرب را شناخته و تنها برای حضور یا غیبت را بررسی می کند این فایل، اگر شما باید در قرنطینه برای تجزیه و تحلیل قرار دهید. در این مورد، شما می توانید اسکریپت را برای نوع زیر اعمال کنید:

// تایمر Watchdog را به مدت 10 دقیقه روشن کنید

ActivitalWatchdog (60 * 10)؛

// جستجو برای برنامه مخرب به نام

QuarantineFile ('٪ Windir٪ \\ SMSS.exe'، 'سوء ظن در ldpinch.gen')؛

QuarantineFile ('٪ windir٪ \\ csrss.exe'، 'سوء ظن در ldpinch.gen')؛

// تکمیل AVZ

این اسکریپت توسط تابع قرنطینه فعال می شود، که یک تلاش برای قرنطینه این فایل ها را انجام می دهد. مدیر تنها برای تجزیه و تحلیل محتویات قرنطینه (Worlandine \\ Network_word پوشه \\ date_carachina \\) برای حضور فایل های قرار داده شده در قرنطینه است. لازم به ذکر است که عملکرد قرنطینه به طور خودکار اتاق را در فایل های قرنطینه شناسایی شده توسط پایگاه داده ایمن AVZ یا بر اساس مایکروسافت EDS مسدود می کند. برای کاربرد عملی این اسکریپت را می توان بهبود داد - برای سازماندهی دانلود نام فایل از یک فایل متنی خارجی، فایل های یافت شده را از پایگاه های AVZ بررسی کنید و یک پروتکل متنی را با نتایج کار فرم دهید:

// جستجوی فایل با نام مشخص شده

عملکرد CheckByName (FNAME: String): Boolean؛

نتیجه: \u003d FileExists (FNAME)؛

اگر نتیجه شروع شود

چک کردن مورد (fname) از

1: S: \u003d '، دسترسی به فایل مسدود شده است'؛

1: S: \u003d '، شناسایی شده به عنوان بدافزار (' + getlastchecktxt + ')' '؛

2: S: \u003d '، مشکوک توسط یک اسکنر فایل (' + getlastchecktxt + ')' '؛

3: خروج؛ // فایل های ایمن نادیده گرفتن

addetolog ('file' + normalfilename (fname) + 'نام مشکوک' + S)؛

// علاوه بر این فایل مشخص شده در قرنطینه

QuarantineFile (FNAME، 'فایل مشکوک' + s)؛

sussnames: tstringlist؛ // لیست نام فایل های مشکوک

// فایل ها را بر روی پایگاه داده به روز رسانی چک کنید

اگر FileExists (GetAvzDirectory + 'files.db') سپس شروع کنید

supsnames: \u003d tstringlist.Reate؛

suspnames.loadfromfile ('files.db')؛

addetolog ('نام دانلود پایگاه - تعداد رکوردها \u003d' + inttostr (suspnames.count))؛

// چرخه جستجو

برای من: \u003d 0 به sussnames.count - 1 انجام دهید

CheckByName (sussnames [i])؛

addetolog ('' خطا لیست نام فایل فایل ')؛

savelog (getavzdirectory + '\\ log \\' +

Getcomputername + '_ files.txt')؛

برای کار این اسکریپت، باید در پوشه AVZ موجود برای کاربران برای ضبط دایرکتوری های قرنطینه و ورود به سیستم، ایجاد کنید فایل متنی FileS.db - هر خط این فایل شامل نام یک فایل مشکوک است. نام فایل ها ممکن است شامل ماکروها باشد، مفید ترین آنها٪ windir٪ (مسیر به پوشه ویندوز) و٪ systemroot٪ (مسیر به پوشه System32) است. جهت دیگری از تجزیه و تحلیل می تواند یک مطالعه خودکار از لیست فرآیندهای اجرا بر روی رایانه های کاربران باشد. اطلاعات در مورد فرآیندهای در حال اجرا در پروتکل تحقیقات سیستم است، اما برای تجزیه و تحلیل اتوماتیک راحت تر برای اعمال قطعه اسکریپت زیر است:

روش ScanProcess؛

S: \u003d ''؛ S1: \u003d ''؛

// لیست فرآیندها را به روز کنید

RefreshprocessSlist؛

addetolog ('تعداد فرآیندها \u003d' + inttostr (getprocesscount))؛

// چرخه تجزیه و تحلیل لیست دریافت شده

برای من: \u003d 0 به GetProcessCount - 1 شروع کنید

S1: \u003d S1 + '،' + extractname (i)؛

// فرآیند جستجو بر اساس نام

اگر POS ('trojan.exe'، حروف کوچک (getProcesSname (i)))\u003e 0 سپس

S: \u003d S + GetProcessName (i) + '،'؛

اگر S.<> '' سپس.

addlineettextfile (getavzdirectory + '\\ log _alarm.txt'، datetimetostr (در حال حاضر) + '' + getcomputername + ':' + s)؛

addlineettextfile (getavzdirectory + '\\ log _all_process.txt'، datetimetostrtr (در حال حاضر) + '' + getcomputername + ':' + S1)؛

مطالعه فرایندها در این اسکریپت به صورت یک روش ScanProcess جداگانه ساخته شده است، بنابراین در اسکریپت خود آسان است. روش ScanProcess دو لیست فرآیند را ایجاد می کند: یک لیست کامل از فرآیندها (برای تجزیه و تحلیل بعدی) و لیستی از فرآیندهای که از نقطه نظر مدیر، خطرناک هستند. در این مورد، فرآیند به نام Trojan.exe به عنوان یک خطرناک نشان داده شده است. اطلاعات مربوط به فرآیندهای خطرناک به فایل متنی اضافه شده است _alarm.txt، اطلاعات مربوط به تمام فرآیندها به فایل _all_process.txt است. آسان است توجه کنید که شما می توانید اسکریپت را پیچیده، به عنوان مثال، بررسی فرایندها بر اساس پایگاه داده فایل های امن و یا بررسی نام فایل های اجرایی از فرآیندهای در پایگاه خارجی را بررسی کنید. این روش در اسکریپت های AVZ مورد استفاده در Smolenskenergo استفاده می شود: مدیر دوره ای به صورت دوره ای اطلاعات جمع آوری شده را بررسی می کند و اسکریپت را تغییر می دهد، وعده های فرآیندهای ممنوعه توسط سیاست های امنیتی برنامه، مانند ICQ و MailRu.Agent، که به شما اجازه می دهد تا به سرعت بررسی کنید حضور نرم افزار ممنوعه بر روی کامپیوتر مورد مطالعه. یکی دیگر از برنامه های فرآیند، یک جستجوی PC است که یک فرآیند اجباری ندارد، به عنوان مثال، آنتی ویروس.

در نتیجه، آخرین اسکریپت های تجزیه و تحلیل مفید را در نظر بگیرید - اسکریپت قرنطینه اتوماتیک از تمامی فایل هایی که بر اساس ایمن AVZ و بر اساس EDS مایکروسافت شناسایی نشده اند:

// انجام اتوکرانتین

executeautoquarantine؛

قرنطینه اتوماتیک با استفاده از فرآیندهای اجرا شده و کتابخانه ها، خدمات و رانندگان، حدود 45 راه از Autorun، ماژول های گسترش مرورگر و هادی، دستگیره های SPI / LSP، وظایف برنامه، دستگیره های سیستم چاپ و غیره مورد بررسی قرار می گیرد. یک ویژگی قرنطینه این است که فایل ها به کنترل تکراری اضافه می شوند، بنابراین عملکرد اتوکارتین می تواند بارها و بارها نامیده شود.

مزیت قرنطینه اتوماتیک این است که با کمک آن، مدیر می تواند به سرعت فایل های بالقوه مشکوک را از تمام رایانه های شبکه برای مطالعه آنها جمع آوری کند. ساده ترین (اما بسیار موثر در عمل) شکل فایل های مطالعه ممکن است تست قرنطینه حاصل شده توسط چندین آنتی ویروس محبوب در حداکثر حالت اکتشافی باشد. لازم به ذکر است که راه اندازی همزمان AutoCartine در چند صدها رایانه می تواند بار بالا را در شبکه و سرور فایل ایجاد کند.

مطالعه ترافیک

مطالعه ترافیک را می توان به سه روش انجام داد:

• دستی با کمک sniffers؛
• در حالت نیمه اتوماتیک - در این مورد، Sniffer اطلاعات را جمع آوری می کند، و سپس پروتکل های آن به صورت دستی یا برخی از نرم افزارها پردازش می شوند؛
• به طور خودکار با استفاده از سیستم های تشخیص نفوذ (IDS) نوع Snort (http://www.snort.org/) یا نرم افزار یا آنالوگ های سخت افزاری آنها. در ساده ترین مورد، IDS شامل یک Sniffer و سیستم تجزیه و تحلیل اطلاعات جمع آوری شده توسط snuffer است.

سیستم تشخیص نفوذ به روش مطلوب است، زیرا به شما اجازه می دهد مجموعه ای از قوانین را برای تشخیص ناهنجاری در فعالیت شبکه ایجاد کنید. مزیت دوم به شرح زیر است: اکثر شناسه های مدرن به شما اجازه می دهد تا عوامل نظارت بر ترافیک را در چندین گره شبکه قرار دهید - عوامل جمع آوری اطلاعات و انتقال آن. در مورد استفاده از Sniffer، بسیار راحت است برای استفاده از کنسول یونیکس Sniffer TCPDump. به عنوان مثال، برای نظارت بر فعالیت توسط پورت 25 (پروتکل SMTP)، آن را به اندازه کافی برای راه اندازی یک sniffer با خط فرمان نمایش ها:

tCPDump -i EM0 -L TCP پورت 25\u003e SMTP_Log.txt

در این مورد، بسته ها از طریق رابط EM0 دستگیر می شوند؛ اطلاعات مربوط به بسته های ضبط شده در فایل smtp_log.txt ذخیره می شود. پروتکل نسبتا ساده است تا به صورت دستی تجزیه و تحلیل شود این مثال تجزیه و تحلیل فعالیت در پورت 25 به شما امکان می دهد کامپیوتر را با ربات های هرزنامه فعال محاسبه کنید.

برنامه Honeypot

به عنوان یک تله (HoneyPot)، شما می توانید از یک رایانه قدیمی استفاده کنید، عملکرد آن اجازه نمی دهد که آن را برای حل وظایف تولید استفاده کنید. به عنوان مثال، در شبکه نویسنده، Pentium Pro C 64 مگابایت RAM با موفقیت به عنوان تله استفاده می شود. به این کامپیوتر، شما باید رایج ترین سیستم عامل را در LAN نصب کنید و یکی از استراتژی ها را انتخاب کنید:

• سیستم عامل را بدون بسته های به روز رسانی نصب کنید - این نشانگر ظاهر یک کرم شبکه فعال در شبکه است که هر کدام از آسیب پذیری های شناخته شده را برای این سیستم عامل عامل دارد؛
• سیستم عامل را با به روز رسانی هایی که در سایر شبکه های کامپیوتر نصب شده اند، نصب کنید - Honeypot به هر یک از ایستگاه های کاری مشابه خواهد بود.

هر یک از استراتژی ها دارای مزایا و معایب آن است؛ نویسنده اساسا این گزینه را بدون به روز رسانی اعمال می کند. پس از ایجاد یک honeypot، شما باید یک تصویر دیسک ایجاد کنید تا سریعا پس از آسیب به برنامه های مخرب بازگردید. به طور خلاصه، یک تصویر دیسک می تواند مورد استفاده قرار گیرد تا تغییرات سایه و آنالوگ های آن را به عقب برگرداند. با استفاده از Honeypot، باید اشاره کرد که تعدادی از کرم های شبکه به دنبال رایانه های آلوده با اسکن یک محدوده IP هستند، از آدرس IP یک کامپیوتر آلوده (استراتژی معمول معمول - XXX *، XXX + 1. *، XXX-1 *) - در نتیجه، به طور ایده آل، Honeypot باید در هر یک از زیر شبکه باشد. به عنوان اقلام آمادگی اضافی، لازم است دسترسی به چند پوشه در سیستم honeypot را باز کنید، و چندین فایل نمونه باید در این پوشه ها قرار داده شود. فرمت های مختلف، حداقل مجموعه - exe، jpg، mp3.

به طور طبیعی، با ایجاد یک honeypot، مدیر باید کار خود را پیگیری کند و به هر گونه ناهنجاری که در آن کشف شده است پاسخ دهد این کامپیوتر. به عنوان وسیله ای برای ثبت تغییرات، حسابرسان می توانند اعمال شوند، یک Sniffer می تواند برای ثبت فعالیت شبکه استفاده شود. یک نکته مهم این بیشتر این است که بسیاری از sniffers توانایی پیکربندی هشدار مدیر در صورت تشخیص یک فعالیت شبکه داده شده را پیکربندی می کنند. به عنوان مثال، در Sniffer Commview، قانون دستورالعمل "فرمول" را نشان می دهد، که بسته شبکه را توصیف می کند، یا وظیفه معیارهای کمی (ارسال تعداد مشخصی از بسته ها یا بایت های بایت در ثانیه، ارسال بسته ها به آدرس های IP یا MAC ناشناس ) - شکل. 2

شکل. 2. ایجاد و پیکربندی هشدار فعالیت شبکه

به عنوان یک هشدار، راحت تر از پیام های ایمیل فرستاده شده به صندوق پستی Administrator استفاده می شود - در این مورد شما می توانید هشدارهای عملیاتی را از تمام تله ها در شبکه دریافت کنید. علاوه بر این، اگر Sniffer اجازه می دهد تا شما را به ایجاد چند هشدار، آن را به معنای تمایز است فعالیت شبکه، با توجه به برجسته سازی کار با ایمیل، FTP / HTTP، TFTP، TELNET، MS NET، افزایش ترافیک بیش از 20-30 بسته در هر ثانیه در هر پروتکل (شکل 3).

شکل. 3. اعلان نامه فرستاده شده است
در صورت تشخیص بسته های مربوط به معیارهای مشخص شده

هنگام سازماندهی یک تله بد نیست که چند سرویس شبکه آسیب پذیر را در شبکه قرار دهید یا شبیه ساز خود را ایجاد کنید. ساده ترین (و رایگان) نویسنده APS APS است که نصب نشده است. اصل APS به گوش دادن به مجموعه ای از پورت های TCP و UDP که در پایگاه داده خود توضیح داده شده و صدور پاسخ پیش تعیین شده یا به طور تصادفی تولید شده (شکل 4) در لحظه اتصال، کاهش می یابد.

شکل. 4. پنجره های اصلی Utilities APS

این رقم نشان می دهد که تصویر تصویری در طول پاسخ واقعی APS در LAN "Smolenskenergo" را نشان می دهد. همانطور که در شکل دیده می شود، تلاش برای اتصال یکی از رایانه های مشتری توسط پورت 21 ثبت شده است. تجزیه و تحلیل پروتکل ها نشان داده است که تلاش ها دوره ای است، که توسط چندین تله در شبکه ثابت می شود، که باعث می شود نتیجه گیری شود اسکن شبکه برای جستجو و هک سرورهای FTP با انتخاب کلمه عبور. APS پروتکل ها را انجام می دهد و می تواند مدیران پیام را با گزارش های مربوط به اتصالات ثبت شده به پورت های کنترل شده ارسال کند، که برای تشخیص اسکن شبکه عملیاتی مناسب است.

هنگام ایجاد HoneyPot، این نیز مفید است برای خواندن منابع آنلاین در این موضوع، به ویژه با سایت http://www.honeynet.org/. در بخش ابزار این وب سایت (http://www.honeynet.org/tools/index.html)، شما می توانید تعدادی از ابزارهایی را برای ثبت نام و تجزیه و تحلیل حملات پیدا کنید.

حذف از راه دور برنامه های مخرب

در حالت ایده آل، پس از تشخیص نمونه های نرم افزارهای مخرب، مدیر آنها را به آزمایشگاه ضد ویروس ارسال می کند، جایی که آنها به سرعت توسط تحلیلگران مورد مطالعه قرار می گیرند و امضاهای مربوطه به پایه آنتی ویروس اعمال می شود. این امضا ها از طریق به روز رسانی خودکار بر روی رایانه های کاربر قرار می گیرند و آنتی ویروس حذف خودکار برنامه های مخرب بدون مداخله مدیر را می سازد. با این حال، این زنجیره همیشه کار نمی کند، به ویژه، به ویژه، علل زیر از شکست ممکن است:

• برای تعدادی از افراد مستقل از مدیر، علل تصویر ممکن است به آزمایشگاه ضد ویروس برسند؛
• کارایی کافی از آزمایشگاه ضد ویروس - ایده آل برای مطالعه نمونه ها و مقدمه آنها بر پایه، بیش از 1-2 ساعت طول می کشد، یعنی در روز کاری، می توانید پایگاه داده های امضا را به روز کنید. با این حال، تمام آزمایشگاه های آنتی ویروس به سرعت کار نمی کنند و به روز رسانی ها می توانند چند روز منتظر بمانند (در موارد نادر - حتی هفته ها)؛
• عملکرد بالا آنتی ویروس - تعدادی از برنامه های مخرب پس از فعال سازی از بین بردن آنتی ویروس ها یا نقض کار خود را در هر راه ممکن است. نمونه های کلاسیک - مقدمه ای بر فایل میزبان سوابق مسدود کردن عملکرد طبیعی سیستم خودکار به روز رسانی ضد ویروس، فرآیندهای حذف، خدمات و رانندگان آنتی ویروس ها، آسیب به تنظیمات آنها و غیره را مسدود می کند.

در نتیجه، در شرایط ذکر شده باید برای برنامه های مخرب به صورت دستی مبارزه کنید. در اغلب موارد، آسان است، زیرا رایانه های آلوده از نتایج مطالعه کامپیوترها و همچنین نام کامل فایل های مخرب شناخته شده اند. این تنها برای تولید فاصله از راه دور است. اگر یک برنامه مخرب از حذف محافظت نشده باشد، ممکن است آن را با اسکریپت AVZ زیر نابود کنید:

// حذف فایل

deletefle ('نام فایل')؛

Executessclean؛

این اسکریپت یک فایل مشخص شده (یا چندین فایل را حذف می کند، زیرا دستورات DeleteFile در اسکریپت ممکن است یک عدد نامحدود باشد) و سپس به طور خودکار رجیستری را تمیز می کند. در یک مورد چالش برانگیز تر، برنامه مخرب را می توان از حذف محافظت کرد (به عنوان مثال، فایل های آن و کلید های رجیستری را دوباره پنهان می کند) یا توسط تکنولوژی Rootkit مخفی شده است. در این مورد، اسکریپت پیچیده است و فرم زیر را دارد:

// ضد دادگاه

searchrotkit (درست، درست)؛

// Office AvzGuard

setavzguardstatus (true)؛

// حذف فایل

deletefle ('نام فایل')؛

// فعال کردن ورود به سیستم لنت کلرین

bc_logfile (getavzdirectory + boot_clr.log ')؛

// وارد کردن به لیست بوت کلان لیست از فایل های از راه دور فایل

bc_importdeletlist؛

// bootcleaner فعال سازی

// سیستم تمیز کردن اکتشافی

Executessclean؛

راه اندازی مجدد (درست)؛

این اسکریپت شامل فعالانه مبارزه با Roottam، استفاده از سیستم AvzGuard (این یک بلوک فعالیت های مخرب برنامه) و سیستم bootcleaner است. BootCleaner یک راننده است که اشیاء مشخص شده از KernelMode را از طریق یک راه اندازی مجدد، در مرحله بارگیری سیستم اولیه حذف می کند. تمرین نشان می دهد که یک اسکریپت مشابه قادر به از بین بردن اکثریت قریب به اتفاق برنامه های مخرب موجود است. استثناء نرم افزارهای مخرب، تغییر نام فایل های اجرایی خود را با هر راه اندازی مجدد، - در این مورد، فایل های شناسایی شده در طول مطالعه را می توان تغییر نام داد. در این مورد، کامپیوتر برای دستی یا ایجاد امضای تروجان خود لازم است (نمونه ای از یک اسکریپت جستجوی سیگنال موجود در AVZ Help شرح داده شده است).

نتیجه

در این مقاله، ما برخی از روش های عملی مبارزه با اپیدمی LAN را بدون استفاده از محصولات آنتی ویروس در نظر گرفتیم. اکثر تکنیک های شرح داده شده نیز می توانند برای جستجو برای رایانه های خارجی و تروجان ها در رایانه های کاربران استفاده شوند. اگر شما دشواری پیدا کردن نرم افزارهای مخرب یا ایجاد اسکریپت های درمان، مدیر می تواند از بخش "راهنما" انجمن http://virusinfo.info یا "مبارزه با گرم شدن" بخش از انجمن http://forum.kaspersky.com استفاده کند /index.php؟showforum\u003d هجده بررسی پروتکل ها و کمک های درمان در هر دو انجمن به صورت رایگان انجام می شود، تجزیه و تحلیل PC بر اساس پروتکل های AVZ انجام می شود و در اغلب موارد، درمان به کامپیوتر آلوده به اسکریپت AVZ کاهش می یابد، که توسط متخصصان داده های انجمن تجربه شده جمع آوری شده است.