谈基于网络和基于主机的漏洞扫描(1)

　　漏洞扫描就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，因此成为安全方案的一个重要组成部分。

　　目前，漏洞扫描，从底层技术来划分，可以分为基于网络的扫描和基于主机的扫描这两种类型。

　　本文分别介绍，并分析了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具的工作原理。这两种工具扫描目标系统的漏洞的原理类似，但体系结构是不一样的，具有各自的特点和不足之处。

　　1 基于网络的漏洞扫描

　　1.1 概述

　　基于网络的漏洞扫描器，就是通过网络来扫描远程计算机中的漏洞。比如，利用低版本的DNSBind漏洞，攻击者能够获取root权限，侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具，能够监测到这些低版本的DNS Bind是否在运行。

　　一般来说，基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具，他根据不同漏洞的特性，构造网络数据包，发给网络中的一个或多个目标服务器，以判断某个特定的漏洞是否存在。

　　1.2 工作原理

　　基于网络的漏洞扫描器包含网络映射（Network Mapping）和端口扫描功能。

　　我们以基于网络的漏洞扫描器为例，来讨论基于网络的漏洞扫描器。基于网络的漏洞扫描器一般结合了Nmap网络端口扫描功能，常常用来检测目标系统中到底开放了哪些端口，并通过特定系统中提供的相关端口信息，增强了漏洞扫描器的功能。

　　基于网络的漏洞扫描器，一般有以下几个方面组成：

　　①漏洞数据库模块：漏洞数据库包含了各种操作系统的各种漏洞信息，以及如何检测漏洞的指令。由于新的漏洞会不断出现，该数据库需要经常更新，以便能够检测到新发现的漏洞。

　　②用户配置控制台模块：用户配置控制台与安全管理员进行交互，用来设置要扫描的目标系统，以及扫描哪些漏洞。

　　③扫描引擎模块：扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置，扫描引擎组装好相应的数据包，发送到目标系统，将接收到的目标系统的应答数据包，与漏洞数据库中的漏洞特征进行比较，来判断所选择的漏洞是否存在。