谈基于网络和基于主机的漏洞扫描(3)

　　第一，基于网络的漏洞扫描器不能直接访问目标系统的文件系统，相关的一些漏洞不能检测到。比如，一些用户程序的数据库，连接的时候，要求提供Windows2000操作系统的密码，这种情况下，基于网络的漏洞扫描器就不能对其进行弱口令检测了。

　　另外，Unix系统中有些程序带有SetUID和SetGID功能，这种情况下，涉及到Unix系统文件的权限许可问题，也无法检测。

　　第二，基于网络的漏洞扫描器不能穿过防火墙。如图3所示，与端口扫描器相关的端口，防火墙没有开放，端口扫描终止。

　　第三，扫描服务器与目标主机之间通讯过程中的加密机制。从图3可以看出，控制台与扫描服务器之间的通讯数据包是加过密的，但是，扫描服务器与目标主机之间的通讯数据保是没有加密的。这样的话，攻击者就可以利用sniffer工具，来监听网络中的数据包，进而得到各目标注集中的漏洞信息。

　　图3 基于网络的漏洞扫描器示意图

　　3.1.2 优点

　　基于网络的漏洞扫描器有很多优点：

　　第一，价格方面。基于网络的漏洞扫描器的价格相对来说比较便宜。

　　第二，基于网络的漏洞扫描器在操作过程中，不需要涉及到目标系统的管理员。基于网络的漏洞扫描器，在检测过程中，不需要在目标系统上安装任何东西。

　　第三，维护简便。当企业的网络发生了变化的时候，只要某个节点，能够扫描网络中的全部目标系统，基于网络的漏洞扫描器不需要进行调整。

　　3.2 基于主机的漏洞扫描

　　3.2.1 优点

　　第一，扫描的漏洞数量多。由于通常在目标系统上安装了一个代理（Agent）或者是服务（Services），以便能够访问所有的文件与进程，这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。这一点在前面已经提到过。

　　第二，集中化管理。基于主机的漏洞扫描器通常都有个集中的服务器作为扫描服务器。所有扫描的指令，均从服务器进行控制，这一点与基于网络的扫描器类似。服务器从下载到最新的代理程序后，在分发给各个代理。这种集中化管理模式，使得基于主机的漏洞扫描器的部署上，能够快速实现。