网络安全扫描

几个有意思的小问题

不是有防火墙和IDS吗？它们不就能保护主机吗，而且感觉保护的还不错。那么网络安全扫描的目的又是什么？
网络安全扫描的目的是为了发现网络系统和应用程序中存在的漏洞和风险，并提供相关的建议和措施来加强安全防护。

防火墙和IDS是两种常见的网络安全设备，它们可以过滤或监测网络流量，阻止或报警一些恶意攻击。但是它们并不能完全保证网络的安全，因为它们可能存在配置错误、更新不及时、漏报或误报等问题。需要网络安全扫描作为必要的补充手段。

意思就是：
光有防火墙和IDS不够，还会有危险

那么网络安全扫描能做什么？

1. 发现潜在的漏洞和安全风险

2.提供修复建议和措施

3.评估网络安全状况等

防火墙和IDS是网络安全的基础设施，它们可以帮助防止网络攻击和入侵，但是它们并不是完美的解决方案。防火墙主要是针对网络通信的控制，IDS主要是针对入侵的检测，它们并不能完全避免所有的安全威胁。网络安全扫描的作用是发现防火墙和IDS所未能检测到的安全漏洞和风险。

网络安全扫描和防火墙、IDS的作用是互补的。防火墙和IDS主要是针对网络通信的控制和监测，网络安全扫描主要是针对网络系统和应用程序的漏洞和风险扫描和评估，是在攻击进行前的主动检测，在黑客攻击之前做好安全防护。

既然网络安全扫描可以扫描整个网络系统和应用程序，那还要防火墙和IDS干什么？直接使用网络安全扫描不能一劳永逸吗?
肯定是不行，网络安全扫描有其自身的局限性，比如：

1. 网络安全扫描只能发现已知或可预见的漏洞，而不能保证系统或应用程序不存在未知或隐蔽的漏洞。

2. 网络安全扫描通常是定期进行的，并不是实时监测和防御网络攻击。在两次扫描之间，系统或应用程序可能会遭受新出现的威胁或变化。

3. 网络安全扫描只能提供漏洞信息和修复建议，并不能自动修复漏洞或阻止攻击。需要管理员根据扫描结果及时采取补丁更新、配置修改等措施来消除漏洞。

下面用一个比喻来描述三者之间的关系：

网络安全扫描就像是一个医生，它可以给系统或应用程序做体检，找出有哪些病毒或伤口，然后告诉管理员怎么治疗。

防火墙就像是一个门卫，它可以检查进出网络的人或物，只让有资格的人或物通过，拒绝没有资格的人或物进入。

IDS就像是一个警察，它可以监视网络中发生了什么事情，如果发现有人在做坏事或者有可疑的行为，就会及时报告给管理员。

网络安全扫描步骤

1. 发现目标主机或网络

2. 发现目标后进一步搜集目标信息

3. 根据搜集到的信息判断或者进一步测试系统是否存在安全漏洞

发现目标->搜集信息->漏洞检测

网络安全扫描技术利用了一系列的脚本模拟对系统进行攻击的行为，并对结果进行分析

发现目标

发送不同类型的ICMP或者TCP、UDP请求，从多个方面检测目标主机是否存活。（ping扫射技术）

ping扫射技术：

搜集信息

可以通过端口扫描，服务识别，操作系统探测等手段

端口扫描

端口扫描是一种网络扫描技术，它可以用来探测目标主机或网络上开放的端口和运行的服务

通过端口扫描可以发现系统的潜在漏洞和风险，可以监测网络的状态和性能，可以用于检测目标系统的弱点，也可以用于防御入侵者。

基本流程：

简单地说就是发送数据然后分析返回的数据

服务识别

仅凭端口号来判断服务类型还是不够的，对于非标准端口服务的识别需要更多的信息

服务识别不仅可以针对非标准端口，也可以针对标准端口，可以帮助我们更准确地了解目标系统的情况和漏洞。

通过服务识别，管理员可以了解目标设备上的运行服务、服务的版本信息以及可能存在的已知漏洞，从而更好地评估网络的安全性。

服务识别和端口扫描有什么不同？
端口扫描是一种通过向目标主机发送特定的网络请求来探测目标主机上哪些端口是开放的技术。

服务识别则是通过观察网络流量，分析其中的应用层协议，来确定目标主机上运行的服务的类型和版本。

端口扫描可以快速地发现目标主机的活跃端口，而服务识别则需要更多的时间和流量来获取更详细的信息

操作系统探测

许多安全漏洞都是和操作系统紧密相关的，只有精确地判别出目标主机的操作系统类型及版本，才能有针对地对其进行攻击或安全评估

分为主动探测技术和被动探测技术

主动探测技术
指主动地、有目的地向目标发送探测数据包，通过提取和分析响应数据包的特征信息，对目标的操作系

统类型进行识别

被动探测技术
通过网络监听等手段，从截获的数据中提取目标的操作系统类型信息

漏洞检测

网络安全扫描中漏洞检测是一种检测目标网络或本地主机的安全性脆弱点的技术。它可以帮助系统管理员发现Web服务器的开放端口、服务、软件版本和安全漏洞，并提供修补建议。漏洞检测可以提高网络安全防护能力，防止黑客利用漏洞进行攻击。

就是检测漏洞用的

直接测试

使用针对漏洞特点设计的脚本或程序检测漏洞

能够准确地判断系统是否存在特定漏洞，攻击性强，对于DoS漏洞，会造成系统崩溃，

不是所有漏洞的信息都能通过这种方法获得

推断

不利用系统漏洞而判断漏洞存在的方法，它并不直接渗透漏洞，只是间接寻找漏洞存在的证据

比如 版本检查， 程序行为分析，操作系统堆栈指纹分析等

推断网络扫描的优点是攻击性小、对计算机和网络的要求低，快速检查大量目标时很有用

不过可靠性比较低

带凭证的测试

凭证是指访问服务所需的用户名或者密码，包括UNIX的登录权限和从网络调用Windows NT的API的能力

带凭证的测试需要提供目标系统或网络的有效用户名和密码，以便扫描器能够登录并执行更深入的检查

攻击者试图将自己的权限提升成为超级用户，从而可以执行某个命令，对于这样的漏洞，前面两种方法很难检查出来，此时需要赋予测试进程目标系统的角色，这种方法就是带凭证的测试

网络安全扫描技术

端口扫描

端口扫描技术是一种探测目标系统的TCP/UDP端口状态的方法 。它可以帮助攻击者或防御者发现目标系统上开放了哪些网络服务

原理

1. 向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应，通过分析响应来判断服务端口是打开还是关闭，即可得知端口提供的服务或信息

2. 也可以通过捕获本地主机或服务器流入流出IP数据包来监视本地主机的运行情况，通过对接收到的数据进行分析，帮助我们发现目标主机的某些内在的弱点

主要就是发送试探包查看端口情况，看有没有想要的响应

分为全连接扫描、半连接扫描、秘密扫描，主要按是否进行完整的TCP连接进行分类

全连接扫描

全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCP connect ()扫描和TCP反向ident扫描等

TCP connect()扫描

利用操作系统提供的connect()系统调用，与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功；否则，该端口是不能用的，即没有提供服务。

connect()函数
系统函数connect()是用来建立TCP连接的，它的原型为：int connect(int sock, struct sockaddr *serv_addr, socklen_t addrlen);

流程：

TCP connect()扫描是一种使用系统提供的connect()函数来连接目标端口的方法。它尝试与目标主机的某个端口建立一次完整的三次握手过程，如果成功就认为此端口是开放的，否则认为不开放。这种扫描方式又称为“全扫描”。

TCP connect()扫描的优缺点
优点：
TCP连接可靠，当出现丢包时会重新发送SYN帧。

因为进行TCP全连接，所以测试相对准确。

对于攻击者的权限没有要求，可以用多线程加快扫描速度

缺点：
容易被目标主机发现，因为会在目标主机的日志中留下记录。

扫描速度较慢，因为要等待三次握手和四次挥手的完成。

可能会触发一些防火墙或入侵检测系统的警报，导致被封锁或追踪。

TCP反向ident扫描

TCP反向ident扫描是一种利用ident协议的漏洞来获取目标主机上通过TCP连接的进程的用户名的方法

大致过程

扫描器向目标主机的某个端口发送一个TCP SYN数据包，但是不完全建立连接，只是发送一个SYN包，并没有发送ACK包确认连接。

如果目标主机上运行了与该端口相应的服务，它将返回一个SYN/ACK数据包，这表明该服务正在运行，并等待客户端发送ACK包确认连接。

扫描器在接收到SYN/ACK数据包后，可以尝试通过ident协议查询该服务的进程ID，这可以帮助确定正在运行的进程

半连接扫描

半连接扫描是一种端口扫描方法，它只完成TCP三次握手的前两次，即发送SYN包和接收SYN/ACK包，然后发送RST包来终止连接，不进行第三次握手。这样可以减少被目标主机发现的风险，提高扫描速度和效率。半连接扫描也称为SYN扫描或隐蔽扫描，间接扫描。

TCP SYN扫描

原理：

1. 扫描器向目标服务器的端口发送一个请求连接的SYN包。

2. 如果目标端口开放，则服务器会向扫描器返回一个SYN/ACK包。

3. 扫描器收到SYN/ACK包后，不发送第三次握手的ACK包，而是发送一个RST包来终止连接。

4. 如果目标端口关闭，则服务器会向扫描器返回一个RST包。

优点：
速度快，因为不需要等待完整的连接建立和断开。

隐蔽性高，因为不会在目标主机上留下日志记录。

缺点：
在大部分操作系统下，扫描主机需要构造适合于这种扫描的包，而通常情况下，必须要有root权限才能建立自己的SYN数据包

秘密扫描

秘密扫描是一种不被审计工具所检测的扫描技术

不被审计工具所检测
审计工具是一种用于检查和评估网络、系统或应用的安全性、合规性或效率的软件或程序。

不被审计工具所检测的意思是，秘密扫描发送的数据包不会被这些软件或程序识别为异常或恶意的流量，从而避免了被目标主机发现或拦截

相比端口扫描：端口扫描容易被在端口处所监听的服务日志记录，这些服务看到一个没有任何数据的连接进入端口，就记录一个日志错误

TCP FIN扫描

TCP FIN扫描是一种秘密扫描的方法，它利用了TCP协议中FIN标志位的作用。

FIN标志位表示发送端已经没有数据要传输了，希望释放连接。

当扫描者向目标主机的一个端口发送一个FIN=1的报文时，如果该端口是关闭的，目标主机会返回一个RST报文；如果该端口是开启的，目标主机不会回应任何信息。

根据这一原理，扫描者可以判断目标主机的端口状态。

FIN数据包可能会没有任何麻烦的通过检测，因为这种技术不包含标准的TCP三次握手协议的任何部分

这里有几个小问题
1.TCP FIN扫描中，当扫描者向目标主机的一个端口发送一个FIN=1的报文，如果该端口是开启的，为什么目标主机不会回应任何信息？不应该进行四次挥手过程吗？
答：四次挥手的话，应该是建立在已经连接的基础之上，要是TCP连接都没有，肯定挥不起来手。因为此时没有建立真正的TCP连接，只是发送了一个单独的FIN报文，所以不挥手。

2.TCP FIN扫描中当扫描者向目标主机的一个端口发送一个FIN=1的报文时，如果目标主机不会回应任何信息，我怎么知道是因为端口开启还是端口关闭同时报文丢失呢？
答：确实不能确定是因为端口开放还是端口关闭同时报文丢失。你需要重复发送FIN报文或者使用其他扫描方法来验证端口状态。比如，可以使用SYN扫描或者ACK扫描。

TCP ACK扫描

TCP ACK扫描是一种探测目标主机端口状态的技术。它的原理是发送一个只有ACK标志的TCP数据包，如果收到一个TCP RST数据包，说明端口是开放的；如果没有收到回复，说明端口是关闭的

反正和TCP FIN作用很像。

一些防火墙会对FIN数据包进行过滤或修改，而对ACK数据包不做处理。因而使用不同的扫描技术可以得到更多的信息。

TCP NULL和TCP XMAS扫描

TCP NULL和TCP XMAS扫描是两种类似的探测技术。

它们的原理是发送一个没有任何标志的TCP数据包（NULL）或者一个有FIN、URG、PSH标志的TCP数据包（XMAS），如果收到一个TCP RST数据包，说明端口是关闭的；如果没有收到回复，说明端口可能是开放的或被屏蔽的。这种扫描可以用来绕过一些不检查标志位的防火墙。

TCP FIN扫描只发送FIN标志位为1的TCP报文，而TCP XMAS扫描发送FIN、URG和PUSH三个标志位都为1的TCP报文。

为什么发送一个没有任何标志的TCP数据包或者一个有FIN、URG、PSH标志的TCP数据包，会出现端口关闭返回RST，端口开放不回复呢？
就是RFC 793中规定的

TCP 分段扫描

TCP 分段扫描是一种利用 TCP 分段机制的探测技术。它的原理是将一个 TCP SYN 数据包分成两个或多个较小的数据包，使得目标主机无法识别出 TCP 头部，从而绕过一些防火墙或入侵检测系统

优点：

隐蔽性好，可以避免被一些简单的防火墙或入侵检测系统发现

缺点：

分段的数据包更容易被路由器或交换机丢弃

看定义有些迷糊，这里来具体介绍一下，
为什么TCP要分段。

TCP 分段扫描之所以要分段，是为了绕过一些防火墙或IDS的检测。一些防火墙或 IDS 会根据 TCP 协议头中的字段来判断是否是恶意扫描，比如源端口、序列号、窗口大小等。如果将 TCP 数据段分成两个或多个小片，并将 TCP 协议头分散在不同的片中，那么就可以使得防火墙或 IDS 无法识别出完整的 TCP 协议头，从而避免被发现。

就是把一个请求分成几个分段，然后防御系统面对这一个片段可能就识别不出来这是个扫描请求。

FTP反弹扫描

FTP反弹扫描是一种利用FTP协议的PORT命令将数据发送到第三方的探测技术。它的原理是通过FTP服务器实现对其他机器的端口扫描和发送数据，从而绕过一些访问控制设备和隐蔽个人身份，这样就可以利用FTP服务器实现对其他机器的端口扫描和发送数据

代理FTP连接
代理FTP连接是一种FTP协议支持的特性，可以让客户端通过一个代理服务器连接到FTP服务器，而不是直接连接。这样可以增加安全性和可靠性，但也可能降低速度和效率

优点：难以跟踪，可穿越防火墙

缺点：有的FTP服务器会关闭代理功能，速度慢

UDP ICMP端口不可到达扫描

UDP ICMP端口不可到达扫描是一种网络扫描技术，可以用来探测目标主机的开放的UDP端口。它的原理是发送空的UDP数据包到目标端口，然后根据返回的ICMP报文判断端口状态

若这个ICMP信息及时收到，则表明目标端口处于关闭状态

若超时也未能接收到端口不可到达ICMP信息，则表明目标端口可能处于监听状态

漏洞扫描技术

这是建立在端口扫描技术基础之上的

简单来说就是，在端口扫描之后，

1.要么根据端口扫描和服务识别的结果，与网络漏洞扫描系统的漏洞库进行匹配，看看有没有匹配得上的漏洞

2.要么模拟黑客的攻击手法，对目标主机系统进行攻击性的安全漏洞扫描，从而检查安全漏洞

漏洞扫描技术
1.基于网络系统漏洞库的漏洞扫描

2.基于模拟攻击的漏洞扫描，使用插件来进行模拟攻击

一般扫描漏洞好像都是这俩方法

操作系统探测技术

分为主动探测和被动探测

主动探测
标识攫取 ，网络协议栈特征探测

被动探测
基于TCP/IP协议栈的被动指纹探测技术 ， 基于应用层协议的被动探测技术

主动探测

标识攫取

用户通过客户端程序访问服务器，在和服务器正常的交互过程中根据服务器返回的提示或一些正常的操作来判别操作系统类型；同时，从目标主机上得到一个二进制可执行文件，再对它进行分析，也可以得到操作系统的某些信息

这种方法的优点是提供的大部分服务足以暴露目标机的身份，实现简单不会受到防火墙的干扰及被IDS系统察觉

缺点是手动获取，效率低，同时目标机器有可能并不提供有标识信息的服务

网络协议栈特征探测

网络协议栈特征探测是一种远程探测计算机系统的操作系统类型、版本号等信息的技术。它是通过主动向目标网络资产发送构造的数据包，并从返回数据包的相关信息中提取目标指纹，与指纹数据库中的指纹进行比对，来实现对开放端口、操作系统、服务及应用类型的探测。不同操作系统的网络协议栈存在的细微差别，这些差别可以用来区分不同的操作系统。

分为ICMP 报文响应分析，TCP 报文响应分析，TCP 报文延时分析

ICMP 报文响应分析
向目标发送UDP或ICMP报文，然后分析目标响应的ICMP报文的内容，根据不同的响应特征来判断操作系统

TCP 报文响应分析
通过区分不同操作系统对特定TCP报文的不同反应，实现对操作系统的区分

TCP 报文延时分析
在“3次握手”的过程中放弃对远程主机SYN/ACK报文的确认，迫使其重传，通过测量重传TCP报文之间的延时序列，获取远程操作系统指纹

操作系统指纹
操作系统指纹是一种用来识别设备上运行的操作系统类型的技术。它可以根据设备的网络特征、浏览器信息、分辨率等信息来判断操作系统的版本和配置。操作系统指纹可以用于网络安全、隐私保护等方面。

就是识别操作系统类型的。

识别操作系统类型有什么用？
可以根据操作系统的版本和特性，选择合适的软件和驱动程序。

可以根据操作系统的漏洞和安全性，进行攻击或防御。

可以根据操作系统的兼容性和优化性，提高设备的性能和稳定性。

简单说就是可以根据不同的操作系统类型进行不同的攻击和防御

ICMP报文响应分析

ICMP数据报是封装在IP数据报之内的，这种方法就是利用了IP头部的字段内容，包括服务类型TOS、总长度、标识、DF位、生存期TTL、检验和等字段。

为什么根据这些就能判断出操作系统的类型？
就拿TTL举例，不同的操作系统设置的TTL初始值不同，比如Windows是128，Linux是64，Cisco IOS是255，想办法计算出报文的TTL，就能大致确定操作系统类型

具体技术有：

ICMP差错报文引用大小

ICMP差错报文引用大小，是指ICMP差错报文中引用的原始IP数据报的大小。

不同的操作系统对ICMP差错报文引用大小有不同的设置，例如，Windows系统一般引用原始IP数据报的前8个字节，而Linux系统一般引用原始IP数据报的前28个字节。通过观察ICMP差错报文中引用的原始IP数据报的大小，就可以推测出发送方的操作系统类型

ICMP差错报文回显完整性

ICMP差错报文回显完整性，是指ICMP差错报文中是否完整地回显了原始IP数据报的所有内容。

不同的操作系统对ICMP差错报文回显完整性有不同的处理方式，例如，Windows系统一般只回显原始IP数据报的前8个字节，而Linux系统一般会回显原始IP数据报的所有内容。

通过观察ICMP差错报文中回显的原始IP数据报的内容，就可以推测出发送方的操作系统类型。

ICMP差错报文的“优先权”字段

ICMP差错报文的“优先权”字段，是指ICMP差错报文中的IP首部中的一个字段，用于表示数据报的重要性。不同的操作系统对ICMP差错报文的“优先权”字段有不同的设置，例如，Windows系统一般将该字段设置为0，而Linux系统一般将该字段设置为4。

ICMP差错报文IP头部的不分片（DF）位

有些操作系统在发送ICMP差错报文时，会根据引起差错的数据报的IP头部的DF位来设置差错报文本身IP头部的DF位，有的系统就不会这么做

ICMP差错报文IP头部的TTL字段

上面写过了，这里不重新写

使用代码字段不为0的ICMP回显请求

代码字段不为0的ICMP回显请求，是指ICMP回显请求报文中的代码字段的值不为0的情况。一般来说，ICMP回显请求报文的代码字段的值应该为0，但是有些操作系统会忽略这个规定，而接受任何代码字段的值。通过发送一个代码字段不为0的ICMP回显请求报文给目标主机，如果收到了回显应答报文，就可以推测出目标主机的操作系统类型是属于那些忽略代码字段值的操作系统。

TOS子字段回显

不同从操作系统ICMP报文使用TOS子字段的方法可能不同

以上写了巨多就像表达一个意思：通过这些不同的字段可以区分不同的操作系统，每个操作系统对这些字段的设置可能都不一样

TCP报文响应分析

通过区分不同操作系统对特定TCP报文的不同反应，实现对操作系统的区分

常用技术有：

巨多，不写了，太占篇幅，反正知道不同操作系统对特定TCP报文有不同反应就行了

TCP报文延时分析

这种方法的具体实现是在“3次握手”的过程中放弃对远程主机SYN/ACK报文的确认，迫使其重传，通过测量重传TCP报文之间的延时序列，获取远程操作系统指纹

原理是不同的操作系统对TCP超时重传机制有不同的实现方式。例如，不同的操作系统对超时重传时间、快速重传算法、SACK选项等有不同的设置和策略。这些差异会导致重传TCP报文之间的延时序列有不同的特征，从而可以用来识别操作系统类型。

优点：不会对目标主机造成任何的不利影响； 缺点：耗时

被动探测

通过网络监听等手段，嗅探目标网络的通信，从截获的数据中提取目标的操作系统类型信息，构成目标系统的指纹。

常用技术：基于TCP/IP协议栈的被动指纹探测技术，基于应用层协议的被动探测技术

基于TCP/IP协议栈的被动指纹探测技术

主要通过：TTL是IP首部中的生存时间字段；窗口大小是TCP首部窗口大小字段；DF是IP首部中的分段标志字段；TOS是IP首部中的服务类型字段 来判断当前的操作系统

基于应用层协议的被动探测技术

针对Mail服务指纹特征进行检测

针对Usenet服务指纹特征进行检测

针对Web服务指纹特征进行检测

网络协议安全

下面介绍一些网络协议漏洞，主要是TCP/IP协议族的一些漏洞

TCP协议

TCP SYN Flood攻击

WinNuke攻击

TCP序列号预测攻击

常见的TCP攻击有：

TCP重置攻击：通过发送伪造的重置报文，使通信双方断开连接。

TCP SYN泛洪攻击：通过发送大量未完成的SYN请求，消耗服务器资源，导致拒绝服务。

TCP序列号预测攻击：通过猜测或截获TCP序列号，伪造数据包，插入或修改通信内容。

TCP窗口大小为零攻击：通过发送窗口大小为零的报文，使对方停止发送数据，造成拥塞或超时。

WinNuke攻击：通过向Windows操作系统的139端口发送带外数据报文，使系统崩溃或重启

IP协议

IP地址欺骗

Land攻击

IP碎片攻击

ARP协议

前面对ARP攻击写了相关博客，大致就是，1.发送大量无关ARP包挤满地址映射表，2.利用ARP包后者覆盖的原则向发送方发送大量伪造ARP应答包，3.修改本地MAC地址

UDP协议

这里介绍UDP的洪泛攻击

UDP发送给接收方时，数据报中会有个端口，如果发现那个端口不存在应用程序，

就会产生一个目的无法连接的ICMP数据包发送给源地址

大量发送这种的UDP数据报，就可能使受害者系统崩溃

ICMP协议

ICMP重定向

淹没攻击

ICMP重定向攻击是一种利用ICMP协议的重定向功能，向目标主机发送伪造的路由信息，使目标主机修改自己的路由表，从而改变其数据包的转发路径的攻击方式。

ICMP洪泛攻击：利用ICMP协议无状态特性，向目标系统发送大量ICMP请求（如ping命令），并使用伪造或随机IP地址作为源地址（Dos攻击）

RIP协议

其它协议

SMTP：容易受到Dos攻击

FTP协议：

DNS漏洞

DNS劫持：重定向用户DNS查询结果，就是返回一个错误的IP地址

DNS缓存中毒：将恶意IP地址添加到DNS缓存中

Dos攻击：

DNS隧道攻击：在DNS协议中装一些其他协议躲过检查

DNS拼写仿冒：搞个域名长得像的地址搞诈骗

总体来说，都有一些漏洞，大体都可以使用Dos攻击或者针对协议特定的特点进行攻击，比如数据包发送的时候该了某个字段啥的

TCP/IP协议族的安全性改进

网络层的安全改进

可以参考VPN，使用隧道协议，并对IP数据报进行封装，使用AH封装或者ESP封装

其中AH只封装报头，ESP对报头报尾都封装

传输层的安全改进

使用SSL协议

具体参照：

https://blog.csdn.net/weixin_47579276/article/details/129369671

有更具体的解释

应用层的安全性改进

如果要区分一个具体文件的不同安全性需求，必须借助于应用层的安全协议

安全漏洞及其防御

安全漏洞是指受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点，也就是任何会导致计算机数据、应用程序、网络或设备受到未经授权访问的事件。安全漏洞可能会导致数据泄露、系统损坏、恶意软件感染等严重后果。

漏洞发现

一般发现漏洞都有两种思路，前面已经遇到过，一是对着已有的漏洞库进行匹配检查，二是试探攻击

类似地这里介绍两种漏洞发现技术：

基于主机的发现技术

对操作系统的各种配置、权限、补丁等方面进行检测，以发现主机潜在的安全漏洞

基于网络的发现技术

利用一系列的脚本对远端系统进行攻击，然后对远端系统的响应结果进行分析，可以发现远端不同平台的一系列漏洞。

漏洞防御

基于源码的防御技术

确保程序代码写得是正确、安全的

基于操作系统的防御技术

这是一种利用操作系统本身提供的安全机制或功能来防止或减轻漏洞利用的技术。

漏洞信息发布机制

漏洞信息发布机制是指通过公开渠道（如网站、邮件列表等）将漏洞信息向社会或者特定对象公布的过程。1漏洞信息发布机制的目的是提醒用户和厂商及时修复漏洞，防止被恶意利用。