6.2　識別和分析技術

6.2.1　網絡嗅探

實施網絡嗅探要求如下：

a) 應對以下內容進行網絡發現：

1) 監控網絡流量，記錄活動主機的IP地址，并報告正在使用的端口、在網絡中發現的操作系統信息；

2) 識別主機之間的聯系，包括哪些主機相互通信，其通信的頻率和所產生的流量的協議類型；

3) 通過自動化工具向常用的端口號發送多種類型的網絡數據包（如ICMP pings），分析網絡主機的響應，并與特定操作系統和網絡服務的數據包的已知特征相比較，識別主機所運行的操作系統、端口及端口的狀態。

b) 宜在以下測評需求中采用網絡嗅探技術：

1) 捕捉和重放網絡流量；

2) 實施被動的網絡發現（例如，在網絡中識別活動設備）；

3) 識別操作系統、應用程序、服務和協議，包括不安全協議（如telnet）和未授權協議（如P2P文件共享）；

4) 識別未授權和不恰當的行為（例如敏感信息的非加密傳輸）；

5) 收集信息（例如未加密的用戶名和口令）。

c) 宜在以下位置部署網絡嗅探器，包括：

1) 網絡邊界處，用以評估進出網絡的流量；

2) 防火墻后端，用以評估準確過濾流量的規則集；

3) IDS/IPS后端，用以確定特征碼是否被觸發并得到適當的響應；

4) 關鍵系統和應用程序前端，用以評估用戶活動；

5) 具體網段上，用以驗證加密協議的有效性。

6.2.2　漏洞掃描

實施漏洞掃描要求如下：

a) 應檢查主機應用程序的使用和安全策略的兼容性；

b) 應提供滲透性測試的目標的相關信息；

c) 應提供關于如何減少被發現漏洞的相關信息；

d) 應識別主機的操作系統和應用的錯誤配置與漏洞（包括網絡可利用的和本地可利用的）；

e) 應識別漏洞的風險等級；

f) 使用漏洞掃描設備時應限制使用DoS攻擊測試，以降低測試對掃描對象產生的風險；

g) 若掃描安全性較弱的系統時，評估者應謹慎選擇掃描類型，防止引起系統故障。

6.2.3　無線掃描

實施無線安全評估要求如下，

a) 應考慮下列因素：

1） 被掃描設備的位置和范圍。物理位置如果接近公共區域，如街道、公眾場所，或位于繁忙的中心城區，可能增加無線威脅的風險；

2） 使用無線技術進行數據傳輸的系統安全等級和數據重要性；

3） 掃描環境中無線設備連接和斷開的頻繁程度以及該無線設備的常用通信方式（如偶然性活動和經常性活動）；

4） 可參考利用系統中已有的無線IDS/IPS中所收集的信息。

b) 掃描工具應遵循如下要求：

1） 應使用安裝配置無線分析軟件的移動設備，如筆記本電腦、手持設備或專業設備；

2） 應允許評估者為具體掃描進行設備配置，以找出與該被測系統的無線安全配置要求的偏差；

3） 應適當配置掃描工具的掃描間隔時間，既能捕獲數據包，又能有效地掃描每個頻段；

4） 應允許用戶導入平面圖或地圖，以協助定位被發現設備的物理位置；

5） 應能捕獲其天線范圍內正在傳送的無線流量。就所發現的無線設備而言，大多數工具可提供幾個關鍵屬性，包括服務集標識符（SSID）、設備類型、頻道、媒體訪問控制（MAC）地址、信號強度及傳送包的數目；

6） 應能夠對捕獲的數據包進行分析，從而確定是否有任何操作上的異常或威脅；

7） 掃描工具應能對系統中的無線設備進行滲透測試，提供攻擊腳本調用功能。

c) 實施藍牙掃描應遵循如下要求：

1） 在確定測試類型的范圍時，應考慮對范圍的限制；

2） 機構應掃描部署的支持藍牙的所有基礎設施，如藍牙接入點；

3） 機構應根據其既定的策略和過程對非法接入點進行處理。