|
| |
 精品推荐 |
 |
|
| |
|
|
|
|
解析系统漏洞扫描的两大类型
|
日期:2005年10月31日 作者: 查看:[大字体
中字体 小字体]
|
漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,因此成为安全方案的一个重要组成部分。
目前,漏洞扫描,从底层技术来划分,可以分为基于网络的扫描和基于主机的扫描这两种类型。
本文通过Nessus和Symantec的Enterprise Security Manager(ESM)这两个产品为例,分别介绍了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具。两种产品扫描目标系统的漏洞的原理类似,但体系结构是不一样的,具有各自的特点和不足之处。
1、基于网络的漏洞扫描
1.1 概述
基于网络的漏洞扫描器,就是通过网络来扫描远程计算机中的漏洞。比如,利用低版本的DNS Bind漏洞,攻击者能够获取root权限,侵入系统或者攻击者能够在远程计算机中执行恶意代码。使用基于网络的漏洞扫描工具,能够监测到这些低版本的DNS Bind是否在运行。
一般来说,基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,他根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。
1.2 工作原理
基于网络的漏洞扫描器包含网络映射(Network Mapping)和端口扫描功能。
我们以Nessus基于网络的漏洞扫描器为例,来讨论基于网络的漏洞扫描器。Nessus 结合了Nmap网络端口扫描功能,Nessus中的这一功能,用来检测目标系统中到底开放了哪些端口,通过提供特定系统中的相关端口信息,从而增强了Nessus的功能。
基于网络的漏洞扫描器,一般有以下几个方面组成:
① 漏洞数据库模块:漏洞数据库包含了各种操作系统的各种漏洞信息,以及如何检测漏洞的指令。由于新的漏洞会不断出现,该数据库需要经常更新,以便能够检测到新发现的漏洞。
② 用户配置控制台模块:用户配置控制台与安全管理员进行交互,用来设置要扫描的目标系统,以及扫描哪些漏洞。
③ 扫描引擎模块:扫描引擎是扫描器的主要部件。根据用户配置控制台部分的相关设置,扫描引擎组装好相应的数据包,发送到目标系统,将接收到的目标系统的应答数据包,与漏洞数据库中的漏洞特征进行比较,来判断所选择的漏洞是否存在。
④ 当前活动的扫描知识库模块:通过查看内存中的配置信息,该模块监控当前活动的扫描,将要扫描的漏洞的相关信息提供给扫描引擎,同时还接收扫描引擎返回的扫描结果。
⑤ 结果存储器和报告生成工具:报告生成工具,利用当前活动扫描知识库中存储的扫描结果,生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项,根据这些设置,扫描结束后,在哪些目标系统上发现了哪些漏洞。
2、基于主机的漏洞扫描
2.1 概述
基于主机的漏洞扫描器,扫描目标系统的漏洞的原理,与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装了一个代理(Agent)或者是服务(Services),以便能够访问所有的文件与进程,这也使的基于主机的漏洞扫描器能够扫描更多的漏洞。
本文以Symantec的Enterprise Security Manager(ESM)为例,进行分析。ESM在每个目标系统上都有个代理,以便向中央服务器反馈信息。中央服务器通过远程控制台进行管理。
2.2 工作原理
ESM是个基于主机的Client/Server三层体系结构的漏洞扫描工具。这三层分别为:ESM控制台、ESM管理器和ESM代理。
具体描述如图2所示。
ESM控制台安装在一台计算机中;ESM管理器安装在企业网络中;所有的目标系统都需要安装ESM代理。ESM代理安装完后,需要向ESM管理器注册。
当ESM代理收到ESM管理器发来的扫描指令时,ESM代理单独完成本目标系统的漏洞扫描任务;扫描结束后,ESM代理将结果传给ESM管理器;最终用户可以通过ESM控制台浏览扫描报告。
3、基于网络的漏洞扫描vs基于主机的漏洞扫描
下面,我们来分析一下基于网络的漏洞扫描工具和基于主机的漏洞扫描工具,所具有各自的特点以及不足之处。
3.1 基于网络的漏洞扫描
3.1.1不足之处
第一、基于网络的漏洞扫描器不能直接访问目标系统的文件系统,相关的一些漏洞不能检测到。比如,一些用户程序的数据库,连接的时候,要求提供Windows 2000操作系统的密码,这种情况下,基于网络的漏洞扫描器就不能对其进行弱口令检测了。
上一篇:局域网监控我最行——Netrobocop
下一篇:使用Magic Winmail来提升权限
|
| 解析系统漏洞扫描的两大类型 相关文章: |
|
|
|
| 解析系统漏洞扫描的两大类型 相关软件: |
|
|
|
|
