“扫描器”发展已有10来年的历史,目前已经是一个非常成熟的产品类型。管理员利用漏洞扫描产品对自己网络、服务器、网络设备等进行扫描,即可发现那些存在漏洞,或被安装了木马程序的主机, 检查某服务程序是否存在配置错误等等,以此及时发现网络中存在的弱点,并在网络攻击者扫描和攻击之前对这些漏洞予以修补,从而提高网络的安全性,构筑网络的安全长城。
很多人会问,既然网络中已经部署了防火墙、防病毒软件、入侵检测系统(IDS)等安全产品,为什么我们的网络安全还不能完全得到保障呢?
从某种意义上说,防火墙软件类似小区的围墙,规定了数据包只能从某个“门”(端口)进入;入侵检测系统类似小区的监视系统;而扫描器相当于每天负责检查各家各户门是否锁好的保安。从中我们可以看到,“扫描器”的工作出发点和防火墙及IDS有着本质的不同:“扫描器”的工作理念是让所有的主机自身都是坚固的,没有任何漏洞,这样即使有黑客试图入侵也无任何缝隙可钻;而防火墙和IDS的理念是在有黑客入侵时不让该入侵行为得逞。这两个理念存在互补性,扫描器更偏重“治本”。
由扫描器的工作出发点即可了解到,扫描器的主要用途有:
发现漏洞。即通过对漏洞扫描来准确地发现网络中哪些主机或设备存在哪些漏洞。
获得可用的报表。即通过对扫描发现的漏洞进行统计分析,产生有意义的报表,其中包括漏洞的详细描述和修补方法。
展示资产漏洞情况。通过扫描来了解到网络中各主机当前的漏洞情况及修补情况。
从其用途可以看出:漏洞扫描工具是一个双刃剑,黑客也可以通过它来获取目标主机的薄弱环节。实际上日常发生的黑客入侵事件中,90%以上的行为都是从扫描开始的。
扫描器在网络安全中扮演了非常重要的角色,其应用包含在许多重要方面,抑制蠕虫即为其最重要的应用之一。
回顾一下 “冲击波”蠕虫的发展历程。2003年7月16日微软公布了MS03-026 Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞。该漏洞影响Windows 2000、Windows XP、Windows 2003系统,微软同时发布了MS06-026补丁用于修补该漏洞。在微软发布该漏洞后网络上有零星的恶意攻击者利用该漏洞进行入侵。接着2003年8月11日爆发了利用上述Windows漏洞的“冲击波蠕虫(MSBlast)”。2003年8月18日,出现了一个利用同样原理进行蔓延的“冲击波清除者蠕虫”,该蠕虫专门清除原来的冲击波蠕虫,然而这个蠕虫大量消耗了网络带宽,导致互联网持续三个多月的性能显著下降。蠕虫爆发后全球Windows用户开始安装MS06-026补丁修补该漏洞、网络运营商开始设法阻止蠕虫蔓延、杀毒厂商加入蠕虫特征进行查杀……直到2004年1月蠕虫传播才开始明显被遏制,估计全球可能有1000多万台主机受到感染。
扫描器抑制蠕虫的作用主要体现在第1~3阶段,即发现自己网络中存在漏洞的主机,并给管理员修补该漏洞的建议,管理员根据建议及时修补主机的漏洞,以此防范蠕虫的攻击和黑客的入侵;在第5~6阶段,扫描器可发现那些被感染的主机和还没有修补漏洞的主机或新接入网络的有漏洞的主机。
