论保障网络安全之漏洞扫描技术

王丽 西华师范大学 网络中心

1 漏洞扫描技术的概述及重要性

一个系统再“安全”，但它都存在漏洞，大多数的入侵者利用的都是常见的漏洞。通过一般的扫描手段容易找出我们发现过的漏洞，对于一些未知漏洞可能一般的扫描技术就可能漏报。应用软件漏洞和操作系统漏洞是服务器漏洞的两大类。万维网服务漏洞、文件传输协议服务漏洞、简单邮件传输协议服务漏洞、远程连接服务漏洞等，是应用软件漏洞。由于不同的服务程序可为相同的网络服务提供服务，因此，它们可能存在相同的漏洞，由于程序不同，可能漏洞有差异。操作系统漏洞包含是LINUX漏洞、 UNIX漏洞、 Windows漏洞等。系统中的一些常见的程序调用协议漏洞、网络基本输入/输出系统协议漏洞等。对于一些常见的漏洞，管理员可以应用一些扫描工具扫描系统，可以检查出正在运行的网络系统中存在的不安全网络服务，查看操作系统上存在的可能会导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞，还可以检查出主机中是否被安装了木马程序，防火墙系统是否存在安全漏洞和配置错误。发现这些常见漏洞，并及时将漏洞修复、更新入侵者就没有机会利用这些漏洞。

入侵者要发起攻击不是说任意系统都要发起攻击，对于存在漏洞的系统才能发起攻击。但攻击者是如何知道系统漏洞的，他们是利用扫描工具对要入侵的主机进行扫描，找到主机系统的漏洞或脆弱点，然后进行攻击。因此，对于系统管理员来说，定期对系统扫描，修复漏洞是很关键的。

2 漏洞扫描技术的步骤及分类

2.1 那么下面我们就来介绍一下漏洞扫描的步骤：

第一步：发现目标主机或网络；

第二步：用相应的嗅探器或传感器搜索目标信息，包括操作系统类型、运行的服务以及服务软件的版本等。对于一个网络而言，需要发现该网络的拓扑及交换机、路由的相关信息；

第三步：利用搜索的资源判断或者进一步测试系统是否存在安全漏洞。

2.2 漏洞扫描技术分类。可以按扫描对象来分：可以分为基于网络的扫描和基于主机的扫描。按扫描方式来分：可以分为主动扫描与被动扫描。基于网络的漏洞扫描，主要针对系统中存在的弱口令或与安全规则相抵触的对象进行检查。通过远程检测扫描主机不同端口的服务，扫描系统会根据扫描主机的反应，并记录下来。通过基于网络的扫描方法，可以搜集到很多目标主机的各种信息，与网络漏洞扫描系统提供的漏洞规则库进行比对，比对成功，网络扫描系统则认为系统存在漏洞。还有种方式就是通过模拟入侵者进攻，再对系统进行安全漏洞扫描，如果入侵者攻击成功，则漏洞扫描系统认为目的主机存在漏洞。

基于网络的漏洞扫描器有以下优点：

一、性价比高；

二、不涉及主机系统管理员，不需要在目标系统上安装程序；

三、维护简便。网络拓扑发生变化，只要扫描某个节点，就能够扫描网络中的全部系统。

我校使用的就是铱迅漏洞扫描系统，只需要部署在网络可达的环境中就可以正常工作。

但基于网络的漏洞扫描器也存在一些缺点：

一、基于网络的漏洞扫描器对于系统文件的一些漏洞可能存在漏报的情况。对于系统文件设置了权限许可，也无法检测。

二、不能穿过防火墙。

三、这种扫描器和主机之间的通讯数据是没有加密的，可以通过被动攻击窃取网络中的数据包，那么漏洞信息就暴露给攻击者。

2.3 基于主机的漏洞扫描

以根身份登录需要扫描的主机，通过分析系统配置的各项主要参数配置的漏洞，从而实现主机扫描。将收集到目标主机配置信息与正确、安全系统配置的标准库进行比对，只要比对不成功，扫描系统就会认为系统存在漏洞。

基于主机的漏洞扫描器是C /S模式。它具有三层体系结构，分别为：控制台、管理器和代理。其工作原理为：系统管理员的计算机安装漏洞扫描控制台，网络中安装漏洞扫描器管理器，整个网络中需要扫描的系统都需要安装漏洞扫描器代理。扫描代理安装成功后，向管理器注册。管理器向代理发出的扫描指令，代理独自对系统进行漏洞扫描。代理将扫描结果传给管理器。管理员只需在控制台上查看扫描报告，可以导出报告，依据报告修复漏洞。

基于主机的漏洞扫描器存具有以下优点：

一、管理员只需要在控制台上查看漏洞报告，方便管理集中化管理。

二、流量负载小，对网络不会造成负担。网络的流量负载小是由于管理器与代理互相通信的只有数据包，扫描漏洞都是由代理独自执行，代理将扫描结果发送给管理器。

三、比基于网络扫描更安全，因为通讯是加了密的。

四、能够穿过防火墙。由于漏洞扫描都在本地完成，在漏洞扫描之前和扫描结束之后代理和管理器之间才进行通讯，所以只需在防火墙上开放必要端口即可实现（5600和5601端口）。

但基于主机的漏洞扫描器同时也存在一些缺点：

一、价格随扫描目标主机的数量递增；

二、如果主机是涉密或很重要的，在目标主机上安装一个代理或服务软件，对于管理员来说是不想这样的；

三、如果网络拓扑范围扩大，扫描工作量就增加，效率减低。

2.4 主动扫描

主动扫描方式是很早就出现的一种扫描技术。这种扫描方式是给目标主机发送测试包，回收目标主机的响应包。从而能够快速准确的通过收集到的信息来判断系统是否存在漏洞。而这种方式也具有不足之处：主动扫描会在系统中留下痕迹，容易被攻击者利用还有不能通过防火墙，其他节点没法扫描。

2.5 被动扫描

被动扫描克服了主动扫描的一些缺点，这种方式不需要向目标主机发送测试包，只需要收集网络上的数据包，对目的主机和网络都不会造成影响。还有一个最大的特点就是不受防火墙影响。但其也具有不足之处在于速度较慢而且漏报和错报的几率高。还有如果主机不产生网络流量就没法获取主机系统的任何信息。即使是被动扫描存在弱点，但任然受到青睐。但可以改进扫描算法便可以增进被动扫描的速度和准确性，或通过正常方式使得被扫描的主机产生流量。

3 结束语

确保网络安全的技术有多种，漏洞扫描技术是一门自身主动进行安全检测的技术。又由于漏洞可能随时产生，所以漏洞扫描技术无论是规则库还是算法都是要随时更新。