基于網(wǎng)絡(luò)和基于主機(jī)的漏洞

1、基于網(wǎng)絡(luò)和基于主機(jī)的漏洞掃描基于網(wǎng)絡(luò)的漏洞掃描器，一般有以下幾個(gè)方面組成： 漏洞數(shù)據(jù)庫(kù)模塊：漏洞數(shù)據(jù)庫(kù)包含了各種操作系統(tǒng)的各種漏洞信息，以及如何檢測(cè)漏洞的指令。由于新的漏洞會(huì)不斷出現(xiàn)，該數(shù)據(jù)庫(kù)需要經(jīng)常更新，以便能夠檢測(cè)到新發(fā)現(xiàn)的漏洞。 用戶配置控制臺(tái)模塊：用戶配置控制臺(tái)與安全管理員進(jìn)行交互，用來(lái)設(shè)置要掃描的目標(biāo)系統(tǒng)，以及掃描哪些漏洞。 掃描引擎模塊：掃描引擎是掃描器的主要部件。根據(jù)用戶配置控制臺(tái)部分的相關(guān)設(shè)置，掃描引擎組裝好相應(yīng)的數(shù)據(jù)包，發(fā)送到目標(biāo)系統(tǒng)，將接收到的目標(biāo)系統(tǒng)的應(yīng)答數(shù)據(jù)包，與漏洞數(shù)據(jù)庫(kù)中的漏洞特征進(jìn)行比較，來(lái)判斷所選擇的漏洞是否存在。 當(dāng)前活動(dòng)的掃描知識(shí)庫(kù)模塊：通過(guò)查看內(nèi)存中的配置

2、信息，該模塊監(jiān)控當(dāng)前活動(dòng)的掃描，將要掃描的漏洞的相關(guān)信息提供給掃描引擎，同時(shí)還接收掃描引擎返回的掃描結(jié)果。 結(jié)果存儲(chǔ)器和報(bào)告生成工具：報(bào)告生成工具，利用當(dāng)前活動(dòng)掃描知識(shí)庫(kù)中存儲(chǔ)的掃描結(jié)果，生成掃描報(bào)告。掃描報(bào)告將告訴用戶配置控制臺(tái)設(shè)置了哪些選項(xiàng)，根據(jù)這些設(shè)置，掃描結(jié)束后，在哪些目標(biāo)系統(tǒng)上發(fā)現(xiàn)了哪些漏洞。2 基于主機(jī)的漏洞掃描2.1 概述 基于主機(jī)的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問(wèn)所有的文件與進(jìn)程，這也使的基于主機(jī)的漏洞掃

3、描器能夠掃描更多的漏洞。 現(xiàn)在流行的基于主機(jī)的漏洞掃描器在每個(gè)目標(biāo)系統(tǒng)上都有個(gè)代理，以便向中央服務(wù)器反饋信息。中央服務(wù)器通過(guò)遠(yuǎn)程控制臺(tái)進(jìn)行管理。2.2 工作原理 基于主機(jī)的漏洞掃描器通常是一個(gè)基于主機(jī)的Client/Server三層體系結(jié)構(gòu)的漏洞掃描工具。這三層分別為：漏洞掃描器控制臺(tái)、漏洞掃描器管理器和漏洞掃描器代理。 漏洞掃描器控制臺(tái)安裝在一臺(tái)計(jì)算機(jī)中；漏洞掃描器管理器安裝在企業(yè)網(wǎng)絡(luò)中；所有的目標(biāo)系統(tǒng)都需要安裝漏洞掃描器代理。漏洞掃描器代理安裝完后，需要向漏洞掃描器管理器注冊(cè)。 當(dāng)漏洞掃描器代理收到漏洞掃描器管理器發(fā)來(lái)的掃描指令時(shí)，漏洞掃描器代理單獨(dú)完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)；掃描結(jié)束后

4、，漏洞掃描器代理將結(jié)果傳給漏洞掃描器管理器；最終用戶可以通過(guò)漏洞掃描器控制臺(tái)瀏覽掃描報(bào)告。3 基于網(wǎng)絡(luò)的漏洞掃描vs基于主機(jī)的漏洞掃描 下面，我們來(lái)分析一下基于網(wǎng)絡(luò)的漏洞掃描工具和基于主機(jī)的漏洞掃描工具，所具有各自的特點(diǎn)以及不足之處。3.1 基于網(wǎng)絡(luò)的漏洞掃描 3.1.1 不足之處 第一，基于網(wǎng)絡(luò)的漏洞掃描器不能直接訪問(wèn)目標(biāo)系統(tǒng)的文件系統(tǒng)，相關(guān)的一些漏洞不能檢測(cè)到。比如，一些用戶程序的數(shù)據(jù)庫(kù)，連接的時(shí)候，要求提供Windows 2000操作系統(tǒng)的密碼，這種情況下，基于網(wǎng)絡(luò)的漏洞掃描器就不能對(duì)其進(jìn)行弱口令檢測(cè)了。 另外，Unix系統(tǒng)中有些程序帶有SetUID和SetGID功能，這種情況下，涉及到

5、Unix系統(tǒng)文件的權(quán)限許可問(wèn)題，也無(wú)法檢測(cè)。 第二，基于網(wǎng)絡(luò)的漏洞掃描器不能穿過(guò)防火墻。如圖3所示，與端口掃描器相關(guān)的端口，防火墻沒(méi)有開(kāi)放，端口掃描終止。 第三，掃描服務(wù)器與目標(biāo)主機(jī)之間通訊過(guò)程中的加密機(jī)制。從圖3可以看出，控制臺(tái)與掃描服務(wù)器之間的通訊數(shù)據(jù)包是加過(guò)密的，但是，掃描服務(wù)器與目標(biāo)主機(jī)之間的通訊數(shù)據(jù)保是沒(méi)有加密的。這樣的話，攻擊者就可以利用sniffer工具，來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)包，進(jìn)而得到各目標(biāo)注集中的漏洞信息。 3.1.2 優(yōu)點(diǎn) 基于網(wǎng)絡(luò)的漏洞掃描器有很多優(yōu)點(diǎn)： 第一，價(jià)格方面?；诰W(wǎng)絡(luò)的漏洞掃描器的價(jià)格相對(duì)來(lái)說(shuō)比較便宜。 第二，基于網(wǎng)絡(luò)的漏洞掃描器在操作過(guò)程中，不需要涉及到目標(biāo)系

6、統(tǒng)的管理員?；诰W(wǎng)絡(luò)的漏洞掃描器，在檢測(cè)過(guò)程中，不需要在目標(biāo)系統(tǒng)上安裝任何東西。 第三，維護(hù)簡(jiǎn)便。當(dāng)企業(yè)的網(wǎng)絡(luò)發(fā)生了變化的時(shí)候，只要某個(gè)節(jié)點(diǎn)，能夠掃描網(wǎng)絡(luò)中的全部目標(biāo)系統(tǒng)，基于網(wǎng)絡(luò)的漏洞掃描器不需要進(jìn)行調(diào)整。3.2 基于主機(jī)的漏洞掃描 3.2.1 優(yōu)點(diǎn) 第一，掃描的漏洞數(shù)量多。由于通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問(wèn)所有的文件與進(jìn)程，這也使的基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。這一點(diǎn)在前面已經(jīng)提到過(guò)。 第二，集中化管理?；谥鳈C(jī)的漏洞掃描器通常都有個(gè)集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令，均從服務(wù)器進(jìn)行控制，這一點(diǎn)與基于網(wǎng)絡(luò)的掃描器類

7、似。服務(wù)器從下載到最新的代理程序后，在分發(fā)給各個(gè)代理。這種集中化管理模式，使得基于主機(jī)的漏洞掃描器的部署上，能夠快速實(shí)現(xiàn)。 第三，網(wǎng)絡(luò)流量負(fù)載小。由于漏洞掃描器管理器與漏洞掃描器代理之間只有通訊的數(shù)據(jù)包，漏洞掃描部分都有漏洞掃描器代理單獨(dú)完成，這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后，漏洞掃描器代理再次與漏洞掃描器管理器進(jìn)行通訊，將掃描結(jié)果傳送給漏洞掃描器管理器。 第四，通訊過(guò)程中的加密機(jī)制。從圖4可以看出，所有的通訊過(guò)程中的數(shù)據(jù)包，都經(jīng)過(guò)加密。由于漏洞掃描都在本地完成，漏洞掃描器代理和漏洞掃描器管理器之間，只需要在掃描之前和掃描結(jié)束之后，建立必要的通訊鏈路。因此，對(duì)于配置了防火墻的網(wǎng)絡(luò)，只

8、需要在防火墻上開(kāi)放漏洞掃描器所需的5600和5601這兩個(gè)端口，漏洞掃描器即可完成漏洞掃描的工作。 3.2.2 不足之處 基于主機(jī)的漏洞掃描工具也存在不足之處。 首先是價(jià)格方面?；谥鳈C(jī)的漏洞掃描工具的價(jià)格，通常由一個(gè)管理器的許可證價(jià)格加上目標(biāo)系統(tǒng)的數(shù)量來(lái)決定，當(dāng)一個(gè)企業(yè)網(wǎng)絡(luò)中的目標(biāo)主機(jī)較多時(shí)，掃描工具的價(jià)格就非常高。通常，只有實(shí)力強(qiáng)大的公司和政府部門(mén)才有能力購(gòu)買(mǎi)這種漏洞掃描工具， 其次，基于主機(jī)的漏洞掃描工具，需要在目標(biāo)主機(jī)上安裝一個(gè)代理或服務(wù)，而從管理員的角度來(lái)說(shuō)，并不希望在重要的機(jī)器上安裝自己不確定的軟件。 第三，隨著所要掃瞄的網(wǎng)絡(luò)范圍的擴(kuò)大，在部署基于主機(jī)的漏洞掃描工具的代理軟件的時(shí)候，需要與每個(gè)目標(biāo)系統(tǒng)的用戶打交道，必然延長(zhǎng)了首次部署的工作周期。4 總結(jié) 在檢測(cè)目標(biāo)系統(tǒng)中是否存在漏洞方面，基于網(wǎng)絡(luò)的漏洞掃描工具和基于主機(jī)的漏洞掃描工具都是非常有用的。 有一點(diǎn)要強(qiáng)調(diào)的時(shí)，必須要保持漏洞數(shù)據(jù)庫(kù)的更新，才能保證漏洞掃描工具能夠真正發(fā)揮作用。