第十一講攻擊與防范

1、第十一講 攻擊與防范,主要內(nèi)容,攻擊漏洞,攻擊——含義,攻擊可以是未授權(quán)的個(gè)人訪問(wèn)或者修改信息的嘗試，欺騙系統(tǒng)使一個(gè)未授權(quán)的人接管授權(quán)會(huì)話，或者中斷對(duì)授權(quán)用戶的正常服務(wù)。破壞：使攻擊目標(biāo)不能正常工作，但不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵：通過(guò)獲得一定的權(quán)限來(lái)達(dá)到控制攻擊目標(biāo)的目的。,攻擊——常見(jiàn)的攻擊,拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊木馬攻擊其它攻擊,拒絕服務(wù)攻擊——簡(jiǎn)介,拒絕服務(wù)攻擊的主要企圖是借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配

2、置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)的性能受損甚至導(dǎo)致服務(wù)中斷。拒絕服務(wù)攻擊是目前黑客常用的攻擊手法，由于可以通過(guò)使用一些公開(kāi)的軟件進(jìn)行攻擊，它的發(fā)動(dòng)較為簡(jiǎn)單，能夠迅速產(chǎn)生效果，同時(shí)要防止這種攻擊又非常困難。從某種程度上可以說(shuō)，拒絕服務(wù)攻擊永遠(yuǎn)不會(huì)消失，而且從技術(shù)上目前還沒(méi)有根本的解決辦法。,拒絕服務(wù)攻擊——概念,“拒絕服務(wù)攻擊(Denial of

3、Service)”的方法，簡(jiǎn)稱DoS，是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)的一種破壞性攻擊方式。它的惡毒之處是通過(guò)向服務(wù)器發(fā)送大量的虛假請(qǐng)求，服務(wù)器由于不斷應(yīng)付這些無(wú)用信息而最終筋疲力盡，而合法的用戶卻由此無(wú)法享受到相應(yīng)服務(wù)，實(shí)際上就是遭到服務(wù)器的拒絕服務(wù)。攻擊廣義上，DoS可以指任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。這種攻擊可能就是潑到服務(wù)器上的一杯水，或者網(wǎng)線被拔下，或者網(wǎng)絡(luò)的交通堵塞等，最終的結(jié)果是正常用戶不能使用他所需要的服務(wù)了

4、，不論是在本地或者是遠(yuǎn)程。,拒絕服務(wù)攻擊——舉例,SYN洪水是DoS攻擊的一種形式，它基于TCP/IP網(wǎng)絡(luò)的工作原理，可以用于解釋任何DoS攻擊的原理。SYN洪水利用了在兩個(gè)系統(tǒng)之間建立連接的TCP三次握手。在正常的環(huán)境下，客戶端向它希望與之通信的服務(wù)器發(fā)送SYN數(shù)據(jù)包，如果服務(wù)器能夠接受這個(gè)請(qǐng)求的話，則用SYN/ACK響應(yīng)。當(dāng)客戶端從服務(wù)器收到SYN/ACK時(shí)，它就響應(yīng)一個(gè)ACK數(shù)據(jù)包，通信就可以進(jìn)行了。,拒絕服務(wù)攻擊——攻擊手段舉例

5、,在SYN洪水攻擊中，攻擊者向目標(biāo)系統(tǒng)發(fā)送虛假的通信請(qǐng)求。這些請(qǐng)求會(huì)被目標(biāo)系統(tǒng)所響應(yīng)，然后等待第三次握手。因?yàn)檎?qǐng)求是虛假的（在請(qǐng)求中使用的是不存在的IP地址，以至于目標(biāo)系統(tǒng)向一個(gè)不存在的系統(tǒng)作出響應(yīng)），目標(biāo)系統(tǒng)等待的響應(yīng)永遠(yuǎn)也不會(huì)發(fā)生。在超過(guò)一個(gè)特定的時(shí)間周期之后，目標(biāo)系統(tǒng)將終止這些連接，但是如果攻擊者發(fā)送請(qǐng)求的速度要比清除它們的速度快，系統(tǒng)很快就會(huì)被這些請(qǐng)求填滿。一個(gè)系統(tǒng)能夠支持的連接的數(shù)量是有限的，所以當(dāng)進(jìn)來(lái)的請(qǐng)求超過(guò)能夠處理的請(qǐng)求

6、的時(shí)候，系統(tǒng)的所有連接很快就被虛假請(qǐng)求所占滿。在這一點(diǎn)上，任何進(jìn)一步的請(qǐng)求簡(jiǎn)單地被中斷（忽略），希望與目標(biāo)系統(tǒng)建立連接的合法用戶也無(wú)法連接到目標(biāo)系統(tǒng)，因而對(duì)系統(tǒng)的使用也被拒絕。,緩沖區(qū)溢出攻擊——簡(jiǎn)介,緩沖區(qū)溢出攻擊是一種通過(guò)往程序的緩沖區(qū)寫(xiě)入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他預(yù)設(shè)指令，以達(dá)到攻擊目的的攻擊方法。緩沖區(qū)溢出是一種相當(dāng)普遍的缺陷，也是一種非常危險(xiǎn)的缺陷，在各種系統(tǒng)軟件、應(yīng)用軟件中廣泛

7、存在。緩沖區(qū)溢出可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)死機(jī)等后果。如果攻擊者利用緩沖區(qū)溢出使計(jì)算機(jī)執(zhí)行預(yù)設(shè)的非法程序，則可能獲得系統(tǒng)特權(quán)，執(zhí)行各種非法操作。,緩沖區(qū)溢出攻擊——內(nèi)存溢出舉例,,,,#include void flowingover(char *s1) { //子函數(shù) char s2[32];strcpy (s2，s1);printf (s2);}void main() { //主函數(shù)char s1[25

8、6];printf ("Please enter 31 characters or less\n");gets (s1);flowingover (s1);},經(jīng)費(fèi)使用情況,,木馬攻擊——簡(jiǎn)介,源于特洛伊木馬（Trojan house）的簡(jiǎn)稱，其名稱源自古希臘神話傳說(shuō)。指附著在應(yīng)用程序中或者單獨(dú)存在的一些惡意程序，可以利用網(wǎng)絡(luò)遠(yuǎn)程響應(yīng)網(wǎng)絡(luò)另一端的控制程序的控制命令，實(shí)現(xiàn)對(duì)感染木馬程序的計(jì)算機(jī)的控制，或者竊取

9、感染木馬程序的計(jì)算機(jī)上的機(jī)密資料。木馬程序一般利用TCP/IP協(xié)議，采用C/S結(jié)構(gòu)，分為客戶端和服務(wù)器端兩個(gè)部分，并一般運(yùn)行于網(wǎng)絡(luò)上不同的兩臺(tái)計(jì)算機(jī)上。服務(wù)器端程序運(yùn)行于被攻擊的計(jì)算機(jī)上。而客戶端程序在控制者的計(jì)算機(jī)上。客戶端程序可以同時(shí)向多個(gè)服務(wù)器端程序發(fā)送命令以控制這些計(jì)算機(jī)?？蛻舳顺绦蛞话闾峁┯押玫牟僮鹘缑?，以便于用戶操作，其功能可能很多。,木馬攻擊——簡(jiǎn)介（續(xù)1）,木馬常被偽裝成工具程序或者游戲來(lái)誘使用戶打開(kāi)帶有木馬程序的郵件

10、附件或從網(wǎng)上下載，一旦用戶打開(kāi)這些郵件的附件或者執(zhí)行這些程序，它們就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在啟動(dòng)時(shí)悄悄執(zhí)行的程序。這種遠(yuǎn)程控制工具可以完全控制受害主機(jī)，危害極大。對(duì)木馬程序而言，它一般包括兩個(gè)部分：客戶端和服務(wù)器端?？蛻舳顺绦蚴强刂普咚褂玫?，用于對(duì)受控的計(jì)算機(jī)進(jìn)行控制。服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的控制了。木馬本身不具備繁殖性和自動(dòng)感染的功能。,木馬攻擊——簡(jiǎn)介（續(xù)2）,木馬運(yùn)行時(shí)，首先服務(wù)器端

11、程序獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請(qǐng)求，并由服務(wù)器端程序完成這些請(qǐng)求，也就實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。,木馬攻擊——主要實(shí)現(xiàn)技術(shù),自動(dòng)啟動(dòng)技術(shù)木馬程序除了第一次運(yùn)行需要用戶來(lái)執(zhí)行它之外，以后一般會(huì)在每次用戶啟動(dòng)系統(tǒng)時(shí)自動(dòng)裝載服務(wù)器端程序。隱蔽技術(shù)木馬設(shè)計(jì)者為了防止木馬程序被發(fā)現(xiàn)，會(huì)盡可能地采用各種隱藏手段，不會(huì)在系統(tǒng)中顯示出來(lái)。

12、木馬程序一般體積十分細(xì)小，執(zhí)行時(shí)不會(huì)占太多的資源。遠(yuǎn)程監(jiān)控技術(shù)遠(yuǎn)程監(jiān)控功能是木馬最主要的功能，也是木馬的最終目的。包括對(duì)對(duì)方主機(jī)的鼠標(biāo)、鍵盤(pán)以及屏幕顯示甚至網(wǎng)絡(luò)通信流量流向等監(jiān)視；也包括對(duì)對(duì)方計(jì)算機(jī)系統(tǒng)信息的搜集；也可控制目標(biāo)機(jī)按照自己的意愿在被攻擊計(jì)算機(jī)上運(yùn)行程序或關(guān)閉對(duì)方的功能。,木馬攻擊——舉例,遠(yuǎn)程訪問(wèn)型木馬是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問(wèn)受害人的硬盤(pán)，并對(duì)其進(jìn)行控制。這種木馬用起來(lái)非常簡(jiǎn)單，只要某用戶運(yùn)行一下服務(wù)端程序

13、，并獲取該用戶的IP地址，就可以訪問(wèn)該用戶的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤(pán)記錄、上傳和下載功能、截取屏幕等等。這種類型的木馬有著名的BO（Back Office）和國(guó)產(chǎn)的冰河等。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會(huì)在每次的Windows重啟時(shí)重啟，而且它們大多數(shù)使用25端口發(fā)送E—mail。,木馬攻擊——舉例（續(xù)）,鍵盤(pán)記錄

14、型木馬非常簡(jiǎn)單的，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。 毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡(jiǎn)單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。FTP 型木馬打開(kāi)用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口）， 使每一個(gè)人都可以用一個(gè)FTP 客戶端程序來(lái)不用密碼

15、連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。,木馬攻擊——對(duì)服務(wù)端的侵襲過(guò)程,其它攻擊——簡(jiǎn)介,欺騙攻擊欺騙攻擊是網(wǎng)絡(luò)攻擊的一種重要手段。常用的欺騙攻擊方式有：DNS欺騙攻擊、Email欺騙攻擊、Web欺騙攻擊和IP欺騙攻擊等等。利用處理程序錯(cuò)誤（漏洞）攻擊作為一個(gè)系統(tǒng)整體，無(wú)論怎樣加強(qiáng)其安全性，它還是或多或少地存在著不同程度的安全漏洞，更不用說(shuō)通常使用的其它各種類型的軟件了。從某種意義上來(lái)說(shuō)，程序存在錯(cuò)誤幾乎再所難免。軟件開(kāi)

16、發(fā)者任何一個(gè)小小的疏忽和錯(cuò)誤都會(huì)給入侵者以可乘之機(jī)。,攻擊——典型攻擊的一般過(guò)程,漏洞——含義,漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)。漏洞是軟件在開(kāi)發(fā)的過(guò)程中沒(méi)有考慮到的某些缺陷，也叫軟件的bug。 漏洞是指計(jì)算機(jī)系統(tǒng)軟硬件包括操作系統(tǒng)和應(yīng)用程序的固有缺陷或者配置錯(cuò)誤，這些缺陷和錯(cuò)誤很容易被黑客所利用對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。,漏洞——理解,漏洞一般指軟件的（安全）漏洞。漏洞存在通用的軟件中

17、。漏洞是事先未知、事后發(fā)現(xiàn)的。漏洞是安全隱患，如果被利用，其后果不可預(yù)知。漏洞一般能夠被遠(yuǎn)程利用。漏洞一般是可以修補(bǔ)的。,漏洞——產(chǎn)生的原因,設(shè)計(jì)上的缺陷利益上的考慮軟件變得日益復(fù)雜,漏洞——危害,計(jì)算機(jī)病毒的泛濫木馬程序的植入未經(jīng)授權(quán)或提高其訪問(wèn)權(quán)限某些信息的泄漏,漏洞——舉例,,,,,,,,,,,漏洞名稱：RPC溢出漏洞 發(fā)布時(shí)間：2003-07-14 嚴(yán)重程度：高 威脅程度：遠(yuǎn)程管理員權(quán)限 危害描

18、述：遠(yuǎn)程進(jìn)入系統(tǒng)執(zhí)行任意代碼 錯(cuò)誤類型：設(shè)計(jì)錯(cuò)誤 利用方式：服務(wù)器模式 CVE ID：CAN-2003-0352受影響系統(tǒng)：Windows 系列(NT、2000、XP、2003),漏洞舉例——RPC溢出漏洞,,,,,通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。Remote Procedure Call(RPC)是Windows操作系統(tǒng)使用的一

19、種遠(yuǎn)程過(guò)程調(diào)用協(xié)議,RPC協(xié)議提供一種進(jìn)程間的交互通信機(jī)制，它允許本地機(jī)器上的程序進(jìn)程無(wú)縫的在遠(yuǎn)程系統(tǒng)中運(yùn)行代碼。該協(xié)議的前身是OSF RPC協(xié)議，但是增加了微軟自己的一些擴(kuò)展。,漏洞舉例——RPC漏洞起因,RPC的DCOM接口負(fù)責(zé)處理DCOM對(duì)象激活請(qǐng)求，但不能正確處理畸形消息。其本質(zhì)就是對(duì)其參數(shù)未能進(jìn)行有效檢查。,漏洞舉例——沖擊波的危害,據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)，在“沖擊波”病毒出現(xiàn)24小時(shí)內(nèi)，全球有140萬(wàn)個(gè)網(wǎng)絡(luò)地址(

20、相當(dāng)于140萬(wàn)臺(tái)以上電腦)被入侵。在“沖擊波”病毒出現(xiàn)的4個(gè)工作日內(nèi)，該中心收集到全國(guó)范圍內(nèi)的61000多個(gè)案例，受感染的計(jì)算機(jī)超過(guò)100萬(wàn)臺(tái)，全國(guó)所有地區(qū)幾乎都有案例報(bào)告。它給全球互聯(lián)網(wǎng)所帶來(lái)的直接損失，將在幾十億美元左右。,漏洞——關(guān)于補(bǔ)丁,補(bǔ)丁有的為了加強(qiáng)軟件的功能而推出。安全補(bǔ)丁是軟件開(kāi)發(fā)廠商為堵塞安全漏洞，提高軟件的安全性和穩(wěn)定性，開(kāi)發(fā)的與原軟件結(jié)合或?qū)υ浖?jí)的程序。當(dāng)前打補(bǔ)丁是“堵”漏洞最有效的方法。,漏洞——常用打

21、補(bǔ)丁的方式,版本升級(jí)。直接執(zhí)行補(bǔ)丁程序。修改設(shè)置。禁止不必要的服務(wù)（端口）。,漏洞——漏洞、攻擊程序、補(bǔ)丁和病毒的時(shí)間關(guān)系,病毒名稱：Blaster  利用漏洞：Windows RPC 漏洞 微軟公告： MS03-026(2003.7.14)    補(bǔ)丁發(fā)布時(shí)間：2003.7.16    

22、 攻擊代碼發(fā)現(xiàn)時(shí)間：2003.7.24     病毒出現(xiàn)時(shí)間：2003.8.13      可以彌補(bǔ)時(shí)間：8天/27天,漏洞——安全漏洞的分類,網(wǎng)絡(luò)協(xié)議：TCP/IP、NetBios操作系統(tǒng)：Windows、Linux、Unix應(yīng)用服務(wù)：Ftp、POP3、Http應(yīng)用軟件：數(shù)據(jù)庫(kù)配置設(shè)置：口令設(shè)置、匿名設(shè)置、注冊(cè)表

23、網(wǎng)絡(luò)設(shè)備：路由器、防火墻,漏洞——漏洞風(fēng)險(xiǎn)程度的分類規(guī)則,攻擊者可以遠(yuǎn)程執(zhí)行任意命令或者代碼。攻擊者可以遠(yuǎn)程獲取應(yīng)用系統(tǒng)的管理權(quán)限。遠(yuǎn)程拒絕服務(wù)攻擊。 漏洞的威脅程度可以由被利用的程序的使用廣泛性來(lái)衡量。適用性越廣，威脅越高。,高級(jí),中級(jí),攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件。攻擊者可以獲取系統(tǒng)敏感信息，例如用戶名、口令信息。攻擊者可以讀取任意文件、目錄。攻擊者可以讀取特定文件、目錄內(nèi)容。潛在可能導(dǎo)致中等風(fēng)險(xiǎn)漏洞

24、的問(wèn)題。,低級(jí),攻擊者可以獲取某些系統(tǒng)、服務(wù)的信息。例如操作系統(tǒng)類型、物理路徑、服務(wù)版本信息。沒(méi)有已知安全問(wèn)題、但可能是不必要的服務(wù)。,漏洞——漏洞掃描器,漏洞掃描器是對(duì)網(wǎng)絡(luò)和主機(jī)的安全性進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的軟件，是一種能自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)系統(tǒng)在安全性方面弱點(diǎn)和隱患的程序包。漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安

25、全方案的一個(gè)重要組成部分。 漏洞掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)。,漏洞——漏洞掃描器示意圖,漏洞——漏洞掃描器原理、目標(biāo)和結(jié)果,原理：采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)：工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象。結(jié)果：向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù) 。,漏洞——漏洞掃描器優(yōu)點(diǎn),在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費(fèi)底、效果好、見(jiàn)效快、與網(wǎng)絡(luò)的運(yùn)

26、行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單的工具，它可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。,漏洞——漏洞掃描器的分類,基于網(wǎng)絡(luò)的漏洞掃描器基于主機(jī)的漏洞掃描器 兩者實(shí)現(xiàn)原理基本一致 ，但體系結(jié)構(gòu)差距較大。,網(wǎng)絡(luò)漏洞掃描器——組成,漏洞數(shù)據(jù)庫(kù)模塊 用戶配置控制臺(tái)模塊 掃描引擎模塊 結(jié)果存儲(chǔ)器和報(bào)告生成工具,網(wǎng)絡(luò)漏洞掃描器——體系結(jié)構(gòu),網(wǎng)絡(luò)漏洞掃描器——基本原理,一般來(lái)說(shuō)，基于網(wǎng)絡(luò)的漏洞掃描工具可以看作為一種

27、漏洞信息收集工具，他根據(jù)不同漏洞的特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個(gè)或多個(gè)目標(biāo)機(jī)，以判斷某個(gè)特定的漏洞是否存在。,基于網(wǎng)絡(luò)的漏洞掃描——實(shí)現(xiàn)過(guò)程,1.根據(jù)控制臺(tái)的設(shè)置，確定掃描目標(biāo)和那些漏洞。2.向目標(biāo)機(jī)發(fā)送掃描引擎組裝好相應(yīng)的數(shù)據(jù)包，接收返回結(jié)果并與漏洞數(shù)據(jù)庫(kù)的特征值進(jìn)行比較。3.利用掃描引擎返回的掃描結(jié)果，生成掃描報(bào)告。,基于網(wǎng)絡(luò)的漏洞掃描——優(yōu)點(diǎn),價(jià)格方面。相對(duì)來(lái)說(shuō)比較便宜。不需要涉及到目標(biāo)系統(tǒng)的用戶。維護(hù)簡(jiǎn)便，尤其網(wǎng)

28、絡(luò)發(fā)生了變化的時(shí)候?；緷M足安全需求。,基于網(wǎng)絡(luò)的漏洞掃描——不足,一些漏洞不能檢測(cè)到。不易能穿過(guò)防火墻。掃描服務(wù)器與目標(biāo)主機(jī)之間安全傳輸問(wèn)題。,基于主機(jī)的漏洞掃描——簡(jiǎn)介,基于主機(jī)的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問(wèn)所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃

29、描器能夠掃描更多的漏洞?；谥鳈C(jī)的漏洞掃描工具是由控制臺(tái)、管理器和代理三部分組成的。當(dāng)代理收到管理器發(fā)來(lái)的掃描指令時(shí)，代理單獨(dú)完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)；掃描結(jié)束后，代理將結(jié)果傳給管理器；最終用戶可以通過(guò)控制臺(tái)瀏覽掃描報(bào)告。,基于主機(jī)的漏洞掃描——優(yōu)點(diǎn),掃描的漏洞數(shù)量多。由于通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問(wèn)所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。集

30、中化管理?；谥鳈C(jī)的漏洞掃描器通常都有個(gè)集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令，均從服務(wù)器進(jìn)行控制，這一點(diǎn)與基于網(wǎng)絡(luò)的掃描器類似。服務(wù)器下載到最新的代理程序后，再分發(fā)給各個(gè)代理。這種集中化管理模式，使得基于主機(jī)的漏洞掃描器的部署上，能夠快速實(shí)現(xiàn)。網(wǎng)絡(luò)流量負(fù)載小。由于管理器與代理之間只有通訊的數(shù)據(jù)包，漏洞掃描部分都有代理單獨(dú)完成，這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后，代理再次與管理器進(jìn)行通訊，將掃描結(jié)果傳送給管理器。,基于主機(jī)

31、的漏洞掃描——優(yōu)點(diǎn)（續(xù)）,通訊過(guò)程中的加密機(jī)制。所有的通訊過(guò)程中的數(shù)據(jù)包，都經(jīng)過(guò)加密。由于漏洞掃描都在本地完成，代理和管理器之間，只需要在掃描之前和掃描結(jié)束之后，建立必要的通訊鏈路。因此，對(duì)于配置了防火墻的網(wǎng)絡(luò)，只需要在防火墻上開(kāi)放管理器所需的端口，管理器即可完成漏洞掃描的工作。,基于主機(jī)的漏洞掃描——不足,首先是價(jià)格方面?；谥鳈C(jī)的漏洞掃描工具的價(jià)格，通常由一個(gè)管理器的許可證價(jià)格加上目標(biāo)系統(tǒng)的數(shù)量來(lái)決定，當(dāng)一個(gè)企業(yè)網(wǎng)絡(luò)中的目標(biāo)主機(jī)較多