求1篇关于漏洞扫描的论文。急!!!
目前漏洞扫描分为两种:基于网络的扫描和基于主机的扫描。
分别介绍和分析了基于网络的漏洞扫描工具和基于主机的漏洞扫描工具的工作原理。这两种扫描目标系统漏洞的工具原理相似,但架构不同,各有特点和不足。
1基于网络的漏洞扫描
1.1概述
基于网络的漏洞扫描器是通过网络扫描远程计算机中的漏洞。例如,攻击者可以通过使用较低版本的DNS Bind漏洞获得root权限、入侵系统或在远程计算机上执行恶意代码。使用基于网络的漏洞扫描工具,我们可以监控这些较低版本的DNS Bind是否正在运行。
一般来说,基于网络的漏洞扫描工具可以看作是一种漏洞信息收集工具。它根据不同漏洞的特征,构造网络数据包并发送给网络中的一个或多个目标服务器,以判断是否存在特定的漏洞。
1.2的工作原理
基于网络的漏洞扫描器包括网络映射和端口扫描功能。
让我们以基于网络的漏洞扫描器为例来讨论基于网络的漏洞扫描器。基于网络的漏洞扫描器一般结合Nmap网络端口扫描功能,常用于检测目标系统中哪些端口是开放的,通过特定系统中提供的相关端口信息来增强漏洞扫描器的功能。
基于网络的漏洞扫描器一般由以下几个方面组成:
①漏洞数据库模块:漏洞数据库包含各种操作系统的各类漏洞信息以及如何检测漏洞的说明。由于新的漏洞会不断出现,数据库需要经常更新,以便检测新发现的漏洞。
②用户配置控制台模块:用户配置控制台与安全管理员交互,设置要扫描的目标系统以及扫描哪些漏洞。
③扫描引擎模块:扫描引擎是扫描仪的主要部分。根据用户配置控制台的相关设置,扫描引擎组装相应的数据包并发送给目标系统。将接收到的目标系统的响应数据包与漏洞数据库中的漏洞特征进行比较,以判断所选择的漏洞是否存在。
④当前主动扫描知识库模块:通过查看内存中的配置信息,该模块监控当前的主动扫描,向扫描引擎提供待扫描漏洞的相关信息,同时接收扫描引擎返回的扫描结果。
⑤结果存储和报告生成工具:报告生成工具,利用当前主动扫描知识库中存储的扫描结果生成扫描报告。扫描报告将告诉用户配置控制台设置了哪些选项,以及根据这些设置,扫描后在哪些目标系统上发现了哪些漏洞。
2基于主机的漏洞扫描
2.1概述
基于主机的漏洞扫描器扫描目标系统漏洞的原理与基于网络的漏洞扫描器相似,但两者的架构不同。基于主机的漏洞扫描器通常在目标系统上安装代理或服务,从而访问所有文件和进程,这也使得基于主机的漏洞扫描器能够扫描更多的漏洞。
如今,流行的基于主机的漏洞扫描器在每个目标系统上都有一个代理,用于向中央服务器反馈信息。中央服务器通过远程控制台进行管理。
2.2工作原理
基于主机的漏洞扫描器通常是一种基于客户机/服务器三层架构的漏洞扫描工具。这三层分别是:漏洞扫描控制台、漏洞扫描管理器和漏洞扫描代理。
漏洞扫描器控制台安装在计算机中;漏洞扫描器管理器安装在企业网络中;所有目标系统都需要安装漏洞扫描代理。安装漏洞扫描程序代理后,您需要向漏洞扫描程序管理器注册。
当漏洞扫描代理接收到漏洞扫描管理器发送的扫描指令时,漏洞扫描代理独立完成目标系统的漏洞扫描任务;扫描后,弱点扫描程序代理将结果传送给弱点扫描程序管理器;最终用户可以通过漏洞扫描程序控制台浏览扫描报告。
3基于网络的漏洞扫描与基于主机的漏洞扫描
下面,我们来分析一下基于网络的漏洞扫描工具和基于主机的漏洞扫描工具的特点和不足。
3.1基于网络的漏洞扫描
3.1.1的缺点
第一,基于网络的漏洞扫描器无法直接访问目标系统的文件系统,一些相关的漏洞无法检测。比如连接某些用户程序的数据库时,需要提供Windows 2000操作系统的密码。在这种情况下,基于网络的漏洞扫描程序无法对其执行弱密码检测。
另外,Unix系统中的一些程序有SetUID和SetGID函数。在这种情况下,无法检测Unix系统文件的权限。
第二,基于网络的漏洞扫描器不能穿过防火墙。如图3所示,端口扫描器相关端口的防火墙没有打开,端口扫描终止。
第三,扫描服务器与目标主机通信时的加密机制。从图3可以看出,控制台和扫描服务器之间的通信数据包是加密的,但是扫描服务器和目标主机之间的通信数据没有加密。这样,攻击者就可以利用sniffer工具监听网络中的数据包,进而获取每个目标节点集中的漏洞信息。
3.1.2优势
首先,扫描的漏洞数量很大。因为代理或服务通常安装在目标系统上,所以可以访问所有文件和进程,这也使基于主机的漏洞扫描程序能够扫描更多漏洞。这一点之前已经提过了。
第二,集中管理。基于主机的漏洞扫描器通常有一个中央服务器作为扫描服务器。所有扫描指令都由服务器控制,这类似于基于网络的扫描器。从下载最新的代理程序后,服务器会将其分发给所有代理。这种集中管理模式使得基于主机的漏洞扫描器的部署能够快速实现。
第三,网络流量负荷小。由于漏洞扫描管理器和漏洞扫描代理之间只有通信包,漏洞扫描部分由漏洞扫描代理单独完成,大大降低了网络流量负载。扫描完成后,漏洞扫描程序代理会再次与漏洞扫描程序管理器通信,并将扫描结果发送给漏洞扫描程序管理器。
第四,通信过程中的加密机制。从图4可以看出,通信过程中的所有数据包都是加密的。因为弱点扫描是在本地完成的,所以弱点扫描程序代理和弱点扫描程序管理器只需要在扫描之前和之后建立必要的通信链路。因此,对于有防火墙的网络,漏洞扫描器只需在防火墙上打开漏洞扫描器所需的端口5600和5601即可完成漏洞扫描。
缺陷
基于主机的漏洞扫描工具也有缺点。
首先是价格。基于主机的漏洞扫描工具的价格通常由管理者的许可价格加上目标系统的数量决定。当企业网络中有许多目标主机时,扫描工具的价格非常高。通常只有有实力的公司和政府部门才能买得起这个漏洞扫描工具。
其次,基于主机的漏洞扫描工具需要在目标主机上安装一个代理或服务,但从管理员的角度来看,他们并不想在重要的机器上安装自己的不确定软件。
再次,随着待扫描网络的扩大,在部署基于主机的漏洞扫描工具代理软件时,需要处理各个目标系统的用户,必然会延长首次部署的工作周期。
4摘要
基于网络的漏洞扫描工具和基于主机的漏洞扫描工具对于检测目标系统是否存在漏洞非常有用。
需要强调的一点是,漏洞数据库一定要更新,才能保证漏洞扫描工具真正发挥作用。另外,漏洞扫描工具只检测目标系统当时是否存在漏洞。当目标系统的配置和运行软件发生变化时,需要重新评估。
基于网络的漏洞扫描工具和基于主机的漏洞扫描工具各有特点,但也有缺点。安全管理员在选择扫描工具时,可以根据自己的需求选择最适合的产品。