漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
目前,漏洞扫描,从底层技术来划分,可以分为基于网络的扫描和基于主机的扫描这两种类型。
本文通过Nessus和Symantec的Enterprise Security Manager(ESM)这两个产品为例,分别介绍了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具。两种产品扫描目标系统的漏洞的原理类似,但体系结构是不一样的,具有各自的特点和不足之处。
1、基于网络的漏洞扫描
1.1 概述
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。比如,利用低版本的DNS Bind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNS Bind是否在运行。
一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,他根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
1.2 工作原理
基于网络的漏洞扫描器包含网络映射(Network Mapping)和端口扫描功能。
我们以Nessus基于网络的漏洞扫描器为例,来讨论基于网络的漏洞扫描器。Nessus 结合了Nmap网络端口扫描功能,Nessus中的这一功能,用来检测目标系统中到底开放了哪些端口,通过提供特定系统中的相关端口信息,从而增强了Nessus的功能。
