2022年行业分析安全技术：系统安全脆弱性扫描技术分析.pdfVIP

安全技术：系统安全脆弱性扫描技术分析

脆弱性扫描器不同于入侵检测系统，由于前者搜寻的是静态配置，

而后者搜寻的是瞬时误用或特别状况。脆弱性扫描器可能会通过检查

一个远程系统上的可用服务和配置，来搜寻一个已知的NFS脆弱性。

处理同样脆弱性的入侵检测系统只有在攻击者试图利用一项脆弱性

时才会报告脆弱性的存在。

脆弱性扫描器(不论是网络扫描器还是主机扫描器)使企业有

机会在故障消失之前将其修复，而不是对一项已经进行的入侵或误用

状况作出反应。入侵检测系统检查的是正在进行的入侵活动，而脆弱

性扫描器可以让用户首先防止入侵。脆弱性扫描器或许对那些没有很

好的大事响应力量的用户会有关心。

网络脆弱性扫描器

网络脆弱性扫描器通过检查远程系统上的网络接口，以远程方

式进行操作。它搜寻在远程机器上运行的脆弱服务，并报告可能存在

的脆弱性。例如，rexd是一项脆弱服务，网络脆弱性扫描器将试图

与目标系统上的rexd服务相连。假如连接胜利，扫描器将会报告rexd

脆弱性。

由于网络脆弱性扫描器能够从网络上的单一机器中运行，所以

安装它不会影响其他机器的配置管理。这些扫描器常常被审计员和平

安部门使用，由于它们能够供应给“局外人”对计算机或网络中的平

安漏洞的看法。

1

优点

网络脆弱性扫描能够报告各种目标体系结构。有些是利用路由

器来工作，有些是利用Unix系统来工作，还有一些是利用NT或其他

Windows平台工作。

网络脆弱性扫描器通常特别简单安装和使用。和通常需要软件

安装或重新配置的基于主机的系统不一样，基于网络的系统可以放在

网络上。只需将接口插入交换机并启动机器就行了。

网络系统中的GUI往往相当直观，这意味着初级人员就能监控

系统，假如消失特别状况可以呼叫更多的高级分析人员。

缺点

网络脆弱性扫描器是几乎完全基于特征的系统。和基于特征的

入侵检测系统一样，基于特征的脆弱性扫描器只能检测它能通过程序

识别的那些脆弱性。假如消失新的脆弱性(这种事情常常发生)，攻击

者在厂商更新特征(以及用户下载并安装新的特征)之前就有攻击的

机会。假如脆弱性仍被保留，那么系统就可能在很长的时间里简单受

到攻击。

假如用户对脆弱性特征像过去对病毒特征一样马虎大意，那么

很多企业就简单受到攻击，即使它们定期运行脆弱性扫描器。最近的

分析显示，90%的运行IIS的Web服务器仍旧简单消失特别严峻的平

安脆弱性，厂商为此已经供应了修补程序和平安顾问。脆弱性扫描器

只能指出可能存在的问题;解决这些问题仍旧要靠企业自己。

网络脆弱性扫描器的另一个潜在问题是，“脆弱性”概念包含

2

其他一些松散定义的概念，如风险、威逼、可接受性和估计的攻击者

技能。由于这些因素都因用户而异，所以某项配置代表一项“脆弱性”

的程度也因用户而异。

当脆弱性扫描器报告某项脆弱性时，企业的网络或操作人员必

需依据该企业的操作环境来对报告进行评估。那些脆弱性或许在该企

业的环境里不会构成为一项不行接受的风险，或者说这项风险或许是

被商业需求强加给该企业的。

我们知道一些脆弱性扫描器把目标系统给毁了。某些IP工具

不够健壮，不能处理很多同时的连接或者拥有特别标记组合的IP包。

例如，一次过分的端口扫描所生成的通信量有时可能使机器瘫痪。

最终，网络脆弱性扫描器往往包含大量脆弱性数据。假如任何

人闯入了扫描器系统，那么破坏网络上的大部分其他的机器就犹如儿

童嬉戏一样简单。所以要爱护扫描器，防止未经授权使用扫描数据。

主机脆弱性扫描器

主机脆弱性扫描器与网络脆弱性扫描器不同，由于它完全局限

于本地操作系统。网络脆弱性扫描器需要能够从网络上访问目标机器，

以便它可以运行;而主机脆弱性扫描器则不需要这样。

主机脆弱性扫描器是安装在一个特别操作系统上的软件包。一

旦安装了软件，它就能被配置成在白天或晚上的任何时候运行。通常，

由这种工具进行的扫描被支配在低