|
网络安全漏洞扫描是一种用于检测系统中漏洞的技术,是具有漏洞扫描功能的软件或设备,简称为漏洞扫描器。漏洞扫描器通过远程或本地检查系统是否存在已知漏洞。漏洞扫描器一般包括用户界面、扫描引擎、漏洞扫描结果分析、漏洞信息及配置参数库等主要功能模块,具体模块功能介绍如下:
|
|
|
|
用户界面接受并处理用户输入、定制扫描策略、开始和终止扫描操作、分析扫描结果报告等。同时,显示系统扫描器工作状态。
|
|
|
|
扫描引擎响应处理用户界面操作指令,读取扫描策略及执行扫描任务,保存扫描结果。
|
|
|
|
|
|
漏洞信息及配置参数库保存和管理网络安全漏洞信息,配置扫描策略,提供安全漏洞相关数据查询和管理功能。
|
|
|
漏洞扫描器是常用的网络安全工具。按照扫描器运行的环境及用途,漏洞扫描器主要分为三种,即主机漏洞扫描器、网络漏洞扫描器、专用漏洞扫描器。下面分别介绍。
|
|
|
|
主机漏洞扫描器不需要通过建立网络连接就可以进行,其技术原理一般是通过检查本地系统中关键性文件的内容及安全属性,来发现漏洞,如配置不当、用户弱口令、有漏洞的软件版本等。主机漏洞扫描器的运行与目标系统在同一主机上,并且只能进行单机检测。主机漏洞扫描器有COPS、Tiger、Microsoft Baseline Security Analyser(MBSA)等。其中,COPS(Computer Oracle and Password System)用来检查UNIX系统的常见安全配置问题和系统缺陷。Tiger是一个基于shell语言脚本的漏洞检测程序,用于UNIX系统的配置漏洞检查。MBSA是Windows系统的安全基准分析工具。
|
|
|
下图是Tiger检测IP地址为192.168.X.Y的主机漏洞的过程。
|
|
|
|
|
|
|
|
|
网络漏洞扫描器的技术原理是通过与待扫描的目标机建立网络连接后,发送特定网络请求进行漏洞检查。网络漏洞扫描器与主机漏洞扫描的区别在于,网络漏洞扫描器需要与被扫描目标建立网络连接。网络漏洞扫描器便于远程检查联网的目标系统。但是,网络漏洞扫描器由于没有目标系统的本地访问权限,只能获得有限的目标信息,检查能力受限于各种网络服务中的漏洞检查,如Web、FTP、Telnet、SSH、POP3、SMTP、SNMP等。常见的网络漏洞扫描器有Nmap、Nessus、X-scan等。其中,Nmap是国际上知名的端口扫描工具,常用于检测目标系统开启的服务端口。Nessus是典型的网络漏洞扫描器,由客户端和服务端两部分组成,支持即插即用的漏洞检测脚本。X-scan是由国内安全组织xfocus开发的漏洞扫描工具,运行在Windows环境中。以Nessus为例,其使用模式如下图所示。
|
|
|
|
|
|
专用漏洞扫描器是主要针对特定系统的安全漏洞检查工具,如数据库漏洞扫描器、网络设备漏洞扫描器、Web漏洞扫描器、工控漏洞扫描器。
|
|
|