计算机网络信息安全：扫描器类型与组件

2023-10-18 理论教育版权反馈

【摘要】：扫描器的作用就是检测、扫描系统中存在的漏洞或缺陷。（一）扫描器的类型1.主机扫描器主机扫描器又称本地扫描器，它与待检查系统运行于同一节点，执行对自身的检查。远程扫描器检查网络和分布式系统的安全漏洞。（二）扫描器的组成一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。可以看出，扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。

扫描器的作用就是检测、扫描系统中存在的漏洞或缺陷。目前主要有两种类型的扫描工具，即主机扫描器和网络扫描器，它们在功能上各有侧重。

（一）扫描器的类型

1.主机扫描器

主机扫描器又称本地扫描器，它与待检查系统运行于同一节点，执行对自身的检查。它的主要功能为分析各种系统文件内容，查找可能存在的对系统安全造成威胁的漏洞或配置错误。由于主机扫描器实际上是运行于目标主机上的进程，因此具有以下特点：

（1）为了运行某些程序，检测缓冲区溢出攻击，要求扫描器可以在系统上任意创建进程。

（2）可以检查到安全补丁一级，以确保系统安装了最新的安全补丁。

（3）可以查看本地系统配置文件，检查系统的配置错误。

除非能攻入系统并取得超级用户权限，或者主机本身已赋予网络扫描器的检查权限，否则网络扫描器很难实现以上功能，所以主机扫描器可以检查出许多网络扫描器检查不出的问题。

2.网络扫描器

网络扫描器又称远程扫描器，一般它和待检查系统运行于不同的节点上，通过网络远程探测目标节点，检查安全漏洞。远程扫描器检查网络和分布式系统的安全漏洞。与主机扫描器的扫描方法不同，网络扫描器通过执行一整套综合的扫描方法集，发送精心构造的数据包来检测目标系统是否存在安全隐患。应该说这种扫描方法在某些方面要优于主机扫描方法，因为攻击是检测网络安全的最佳手段。

（二）扫描器的组成(www.chuimin.cn)

一般说来，扫描器由以下几个模块组成：用户界面、扫描引擎、扫描方法集、漏洞数据库、扫描输出报告等。整个扫描过程是由用户界面驱动的。首先由用户建立新会话，选定扫描策略后，启动扫描引擎，根据用户制订的扫描策略，扫描引擎开始调度扫描方法，扫描方法将检查到的漏洞填入数据库，最后由报告模块根据数据库内容组织扫描输出结果。

扫描器的各模块功能如下：

（1）制订扫描策略就是指用户为本次扫描选定哪些扫描方法组合。

（2）用户界面将复杂的扫描过程以图形化的方式展现在用户面前，使得扫描器更加清晰，用户操作更加简单。

（3）扫描引擎完成其他各个模块的管理调度，它的设计决定了扫描效率的高低。

（4）扫描方法集功能是检查系统的漏洞，它决定了扫描的有效性。

（5）漏洞数据库存储了漏洞的分类描述信息，是生成输出报告的数据源。

（6）输出报告可以按不同层次的需要提供扫描报告。

可以看出，扫描器的关键是要有一个组织良好的漏洞数据库和相应的扫描方法集。漏洞库是核心，一般含漏洞编号、分类、受影响系统、漏洞描述、修补方法等内容。扫描方法集则要根据漏洞描述内容，提取出漏洞的主要特征，进一步转化出检测出这个漏洞的方法，这是一个技术实现的过程。

漏洞库的建立需要一大批安全专家和技术人员长期的协同工作，目前国内外都有相应的组织开展这方面的工作，最具影响力的就是CVE（Common Vulnerabilites and Exposures）。