扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的、准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

简介

扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。本章要介绍的这些扫描器绝大多数都是界面友好，使用起来很“傻瓜化”的，所以不做详细介绍。

一、系统漏洞扫描器

1、Retina

Retina是eEye公司(www.eeye.com)的产品，强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞，并且生成详细的安全检测报告，兼容各种主流操作系统、防火墙、路由器等各种网络设备。曾在国外的安全评估软件的评测中名列第一。

Retina的主界面共分为三个部分，上部是菜单和工具栏，下部的左边是动态导航菜单，右边是与左边菜单相对应的内容显示窗口（如图1）。

图1  Retina的主界面

如要对单机进行扫描，只要在Address栏输入该计算机的IP地址，然后单击Address栏右边的start按钮即可开始扫描。如要对某个网段的计算机进行扫描，可以按Ctrl+R，在新出现的窗口装设置要扫描的IP地址范围。如要修改Retina的扫描内容和策略，需要到菜单栏的Tools中的Policies项进行设置(如图2)。

图2  Retina的扫描内容和策略设置窗口

2、Superscan

Superscan是foundstone实验室的一个端口扫描工具，速度极快而且资源占用很小，图3是它的主程序界面。

图3  Superscan的界面

SuperScan具有以下功能：（1）通过Ping来检验IP是否在线；（2）IP和域名相互转换；（3）可以尝试通过TCP连接到电脑上，检测目标运行的服务；（4）检验一定范围目标计算机的是否在线和端口情况；（5）自定义要检验的端口，并可以保存为端口列表文件。

3、X-Scan

X-Scan是安全焦点的力作，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP、NT-SERVER等弱口令用户，NETBIOS信息等等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知漏洞，给出了相应的漏洞描述、利用程序及解决方案。X-Scan不光是黑客手中的利器，也是网络管理员的得力助手。X-Scan程序界面如图2.4所示，上方功能按钮包括：“扫描参数”、“开始扫描”、“暂停扫描”、“终止扫描”、“检测报告”、“使用说明”、“在线升级”、“退出”。

图4  X-Scan程序界面

在进行扫描前需要设置一下扫描参数，按Ctrl+E即可调出扫描参数设置窗口，如图5所示。

图5  X-Scan的扫描参数设置窗口

“检测范围”中，可以设置要扫描的IP地址，可以是一台服务器，也可以是某个网段的服务器，格式为：127.0.0.1-127.0.0.224。

在“全局设置”中包含了所有全局性扫描选项，包括“扫描模块”，“并发扫描”，“扫描报告”，“其他设置”。

1. “扫描模块”主要是设置要扫描对方的哪些漏洞和信息。

2. “并发扫描”中可以设置最大并发主机数量，最大并发线程数量和各插件最大并发线程数量。

3. “扫描报告”则是设置扫描后生成的报告的文件名和格式，以及是否自动生成并显示报告。

4. 在“其他设置”中，如果我们设置了“跳过没有响应的主机”，对方禁止了PING或防火墙设置使对方没有响应的话，X-Scan会自动跳过，自动检测下一台主机。如果用“无条件扫描”的话，X-Scan会对目标进行详细检测，这样结果会比较详细也会更加准确，但扫描时间会延长。

“插件设置”中，包括“端口相关设置”，“SNMP相关设置”，“NETBIOS相关设置”，“漏洞检测脚本设置”，“CGI相关设置”，“字典文件设置”。

1. “端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种，TCP方式容易被对方发现，准确性要高一些，SYN则相反。

2. “SNMP相关设置”主要是针对SNMP信息的一些检测设置。

3. “NETBIOS相关设置”是针对WINDOWS系统的NETBIOS信息的检测设置，包括的项目有很多种，我们根据需求选择实用的就可以了。

4. “漏洞检测脚本设置”可以设置使用哪些漏洞检测脚本，是否使用破坏性脚本。

5. “CGI相关设置”扫描CGI漏洞的相关设置。

6. “字典文件设置” 是X-Scan自带的一些用于破解远程账号所用的字典文件，这些字典都是简单或系统默认的账号等。我们可 以选择自己的字典或手工对默认字典进行修改。默认字典存放在“DAT”文件夹中。字典文件越大，探测时间越长。

“扫描参数”设置好后单击“开始扫描”按钮 (绿色三角)X-Scan就开始扫描了。

4、N-StealthN-Stealth是一个全面的Web服务器审计工具，它可以扫描超过30000个弱点，是系统管理员、安全顾问和其他IT职业的理想工具，据说是世界上最顶尖的Web服务器安全扫描工具，图6是N-Stealth的主程序界面。

图6 N-Stealth的主程序界面

N-Stealth的特点:

•能在win98/ME/2000/XP/2003系统下正常地运行

•能测试扫描目前几乎所有WEB类型的服务器，包括某些网络设备的WEB控制平台

•支持大多数的WEB服务应用程序(如: CGI,ColdFusion,ASP,Lotus Domino,FrontPage,PHP等)

•能进行SANS/FBI的头10&20漏洞扫描

•全面支持HTTP与HTTPS(SSL)

•全面支持使用代理服务器

•容易解读的图形报告生成模块

•支持虚拟主机

•准确的错误筛选机制

•带有缓冲区溢出测试引擎

•漏洞数据库能进行智能升级(DB update，注:此功能仅限于正式版才能使用)。

二、SQL注入漏洞扫描器

SQL注入漏洞是指Web程序员在开发Web程序时，代码编写不严谨，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的sql injection，即SQL注入，这也是最近比较流行的一种Web攻击方式。

1、Wis+Wed

小榕开发的两款在cmd命令窗口中运行的SQL注入点扫描工具，扫描速度很快。Wis (Web Injection Scanner)，可以自动对整个网站进行SQL Injection 脆弱性扫描，并且能够扫描后台登陆界面。命令格式如下：

wis http://www.someaspsite.com/index.asp  扫描整个www. someaspsite.com网站，找出存在SQL Injection的页面。

wis http://www.someaspsite.com/index.asp /a  扫描网站后台管理页面入口，如图7所示。

图7  wis的命令格式

Wed (Web Entry Detector)，针对存在SQL Injection的网站对管理帐号进行扫描的程序。命令格式如下：

wed http://www.someaspsite.com/shownews.asp?id=1  对存在SQL Injection漏洞的网站进行后台管理帐号扫描，这里假设http://www.someaspsite.com/shownews.asp?id=1是SQL注入点，如图8示。

图8 wed的命令格式

2、NBSI

小竹的作品，功能很多，比较常用的有“网站扫描”，“注入分析”，“扫描及工具”这三个功能。“网站扫描”是扫描网站的SQL注入点，并会显示出可能存在注入漏洞的地址，有极高，中等，极低几个等级提示，如图9所示，为了避免引起不必要的麻烦，我将一些敏感信息遮住了，也请大家理解。

图9  网站扫描后得到的信息

通过“网站扫描”得到SQL注入点后，单击“注入分析”按钮，进入注入分析界面，单击“检测”按钮，就会得到该网站的数据库信息，以及当前用户名和当前的数据库名，如图10所示。

图10  注入分析得到信息

然后单击“猜解表名”按钮，得到当前数据库中的所有表名，选中一个表，单击“猜解列名”，得到表中的所有列，选中某个或某些列，再单击“猜解记录”，就会得到选中的列中保存的信息，如图11所示。

图11  猜解得到的表，列，记录信息

得到管理员的用户名和密码后，就是用对后台管理地址扫描了，如图12所示。

图12 扫描网站得到的可能存在的管理后台路径

得到管理后台路径后，用前面得到的用户名和密码进入管理后台，如果管理后台可以上传文件，那就直接上传一个ASP木马，得到对方的WebShell，然后尝试得到对方的系统管理权限。

3、啊D SQL注入工具

啊D SQL注入工具主要功能和使用方法与NBSI类似，不过该软件有个特色就是支持汉字破解，而且速度很快，该软件界面如图13所示。

图13  啊D SQL注入工具界面

4、 SQL漏洞注入工具的工作原理通过上面介绍的这些SQL注入工具，大家不难看出它们的功能都差不多，原理都是通过不断的提交构造好的特殊的SQL语句和管理后台地址，根据对方返回的信息来判断猜解的是否正确。如果大家希望学习全手工的注射，可以使用抓包的工具捕获工具发送的数据包，比如使用在第一章介绍的Achilles，图14就是用Achilles捕获的NBSI发出的数据。

图14  用Achilles捕获的NBSI发出的数据

三、其他扫描器

1. ISS(Internet Security Scanner)

ISS公司开发和维护的商业漏洞扫描程序，它的可移植性和灵活性很强，众多的UNIX的平台上都可以运行ISS。

2. 流光

在国内可以与X-Scan相提并论的扫描器，它除了能够像X-Scan那样扫描众多漏洞、弱口令外，还集成了常用的入侵工具，如字典工具、NT/IIS工具等，还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。

3. WINNTAutoAttack

也叫Windows NT/2000 自动攻击探测机，常被用扫描肉鸡，该软件可以根据目标存在的漏洞自动在对方的计算机上添加用户。

四、总结

黑客软件层出不穷，只会使用某些工具是不行的，这样永远是被别人牵着鼻子走。要知其然，还要知其所以然，这就要求我们多思考，多实践，能够做到举一反三。

如何选择漏洞扫描工具

对于一个复杂的多层结构的系统和网络安全规划来说，隐患扫描是一项重要的组成元素。隐患扫描能够模拟黑客的行为，对系统设置进行攻击测试，以帮助管理员在黑客攻击之前，找出网络中存在的漏洞。这样的工具可以远程评估你的网络的安全级别，并生成评估报告，提供相应的整改措施。

目前，市场上有很多隐患扫描工具，按照不同的技术（基于网络的、基于主机的、基于代理的、C/S的）、不同的特征、不同的报告方法，以及不同的监听模式，可以分成好几类。不同的产品之间，漏洞检测的准确性差别较大，这就决定了生成的报告的有效性上也有很大区别。选择正确的隐患扫描工具，对于提高你的系统的安全性，非常重要。

1、漏洞扫描概述

在字典中，Vulnerability意思是漏洞或者缺乏足够的防护。在军事术语中，这个词的意思更为明确，也更为严重——有受攻击的嫌疑。

每个系统都有漏洞，不论你在系统安全性上投入多少财力，攻击者仍然可以发现一些可利用的特征和配置缺陷。这对于安全管理员来说，实在是个不利的消息。但是，多数的攻击者，通常做的是简单的事情。发现一个已知的漏洞，远比发现一个未知漏洞要容易的多，这就意味着：多数攻击者所利用的都是常见的漏洞，这些漏洞，均有书面资料记载。

① 生成的报告的特性（内容是否全面、是否可配置、是否可定制、报告的格式、输出方式等）；

② 对于漏洞修复行为的分析和建议（是否只报告存在哪些问题、是否会告诉您应该如何修补这些漏洞）；

③ 安全性（由于有些扫描工具不仅仅只是发现漏洞，而且还进一步自动利用这些漏洞，扫描工具自身是否会带来安全风险）；

④ 性能；

⑤ 价格结构

这样的话，采用适当的工具，就能在黑客利用这些常见漏洞之前，查出网络的薄弱之处。如何快速简便地发现这些漏洞，这个非常重要。

漏洞，大体上分为两大类：

① 软件编写错误造成的漏洞；

② 软件配置不当造成的漏洞。

漏洞扫描工具均能检测以上两种类型的漏洞。漏洞扫描工具已经出现好多年了，安全管理员在使用这些工具的同时，黑客们也在利用这些工具来发现各种类型的系统和网络的漏洞。

2、隐患扫描工具的衡量因素

决定是否采用隐患扫描工具来防范系统入侵是重要的第一步。当您迈出了这一步后，接下来的是：如何选择满足您公司需要的合适的隐患扫描技术，这同样也很重要。

以下列出了一系列衡量因素：

① 底层技术（比如，是被动扫描还是主动扫描，是基于主机扫描还是基于网络扫描）；

② 特性；

③ 漏洞库中的漏洞数量；

④ 易用性；

2.1 底层技术

比较漏洞扫描工具，第一是比较其底层技术。你需要的是主动扫描，还是被动扫描；是基于主机的扫描，还是基于网络的扫描，等等。一些扫描工具是基于Internet的，用来管理和集合的服务器程序，是运行在软件供应商的服务器上，而不是在客户自己的机器上。这种方式的优点在于检测方式能够保证经常更新，缺点在于需要依赖软件供应商的服务器来完成扫描工作。 扫描古城可以分为"被动"和"主动"两大类。被动扫描不会产生网络流量包，不会导致目标系统崩溃，被动扫描工具对正常的网络流量进行分析，可以设计成"永远在线"检测的方式。与主动扫描工具相比，被动扫描工具的工作方式，与网络监控器或IDS类似。

主动扫描工具更多地带有"入侵"的意图，可能会影响网络和目标系统的正常操作。他们并不是持续不断运行的，通常是隔一段时间检测一次。 基于主机的扫描工具需要在每台主机上安装代理（Agent）软件；而基于网络的扫描工具则不需要。基于网络的扫描工具因为要占用较多资源，一般需要一台专门的计算机。 如果网络环境中含有多种操作系统，您还需要看看扫描其是否兼容这些不同的操作系统（比如Microsoft、Unix以及Netware等）。

2.2 管理员所关心的一些特性

通常，漏洞扫描工具完成一下功能：扫描、生成报告、分析并提出建议，以及数据管理。在许多方面，扫描是最常见的功能，但是信息管理和扫描结果分析的准确性同样很重要。

另外要考虑的一个方面是通知方式：当发现漏洞后，扫描工具是否会向管理员报警？采用什么方式报警？

对于漏洞扫描软件来说，管理员通常关系以下几个方面：

① 报表性能好；② 易安装，易使用；③ 能够检测出缺少哪些补丁；④ 扫描性能好，具备快速修复漏洞的能力；⑤ 对漏洞及漏洞等级检测的可靠性；⑥ 可扩展性；⑦ 易升级性；⑧ 性价比好；

2.3 漏洞库

只有漏洞库中存在相关信息，扫描工具才能检测到漏洞，因此，漏洞库的数量决定了扫描工具能够检测的范围。 然而，数量并不意味着一切，真正的检验标准在于扫描工具能否检测出最常见的漏洞？最根本的在于，扫描工具能否检测出影响您的系统的那些漏洞？扫描工具中有用的总量取决于你的网络设备和系统的类型。你使用扫描工具的目的是利用它来检测您的特定环境中的漏洞。如果你有很多Netware服务器，那么，不含Netware漏洞库的扫描工具就不是你的最佳选择。 当然，漏洞库中的攻击特性必须经常升级，这样才能检测到最近发现的安全漏洞。

2.4 易使用性

一个难以理解和使用的界面，会阻碍管理员使用这些工具，因此，界面友好性尤为重要。不同的扫描工具软件，界面也各式各样，从简单的基于文本的，到复杂的图形界面，以及Web界面。

2.5 扫描报告

对管理员来说，扫描报告的功能越来越重要，在一个面向文档的商务环境中，你不但要能够完成你的工作，而且还需要提供书面资料说明你是怎样完成的。事实上，一个扫描可能会得到几百甚至几千个结果，但是这些数据是没用的，除非经过整理，转换成可以为人们理解的信息。这就意味着理想情况下，扫描工具应该能够对这些数据进行分类和交叉引用，可以导到其他程序中，或者转换成其他格式（比如CSV，HTML，XML，MHT，MDB，EXCEL以及Lotus等等），采用不同方式来展现它，并且能够很容易的与以前的扫描结果做比较。

2.6 分析与建议 　　

发现漏洞，才完成一半工作。一个完整的方案，同时将告诉你针对这些漏洞将采取哪些措施。一个好的漏洞扫描工具会对扫描结果进行分析，并提供修复建议。一些扫描工具将这些修复建议整合在报告中，另外一些则提供产品网站或其它在线资源的链接。漏洞修复工具，它可以和流行的扫描工具结合在一起使用，对扫描结果进行汇总，并自动完成修复过程。

2.7 分析的准确性 　　

只有当报告的结果是精确的，提供的修复建议是有效的，一份包含了详细漏洞修复建议的报告，才算是一份优秀的报告。一个好的扫描工具必须具有很低的误报率（报告出的漏洞实际上不存在）和漏报率（漏洞存在，但是没有检测到）。

2.8 安全问题 　　

因扫描工具而造成的网络瘫痪所引起的经济损失，和真实攻击造成的损失是一样的，都非常巨大。一些扫描工具在发现漏洞后，会尝试进一步利用这些漏洞，这样能够确保这些漏洞是真实存在的，进而消除误报的可能性。但是，这种方式容易出现难以预料的情况。在使用具备这种功能的扫描工具的时候，需要格外小心，最好不要将其设置成自动运行状态。 　　

扫描工具可能造成网络失效的另一种原因，是扫描过程中，超负荷的数据包流量造成拒绝服务（DOS，Denial Of Service）。为了防止这一点，需要选择好适当的扫描设置。相关的设置项有：并发的线程数、数据包间隔时间、扫描对象总数等，这些项应该能够调整，以便使网络的影响降到最低。一些扫描工具还提供了"安全扫描"的模板，以防止造成对目标系统的损耗。

2.9 性能 　　

扫描工具运行的时候，将占用大量的网络带宽，因此，扫描过程应尽快完成。当然，漏洞库中的漏洞数越多，选择的扫描模式越复杂，扫描所耗时间就越长，因此，这只是个相对的数值。提高性能的一种方式，是在企业网中部署多个扫描工具，将扫描结果反馈到一个系统中，对扫描结果进行汇总。

3、隐患扫描工具的价格策略

商业化的扫描工具通常按以下几种方式来发布器授权许可证：按IP地址授权，按服务器授权，按管理员授权。不同的授权许可证方式有所区别。

3.1 按IP段授权

许多扫描其产品，比如eEye的Retina和ISS（Internet Security Scanner）要求企业用户按照IP段或IP范围来收费。换句话说，价格取决于所授权的可扫描的IP地址的数目。

3.2 按服务器授权

一些扫描工具供应商，按照每个服务器/每个工作站来计算器许可证的价格。服务器的授权价格会比工作站高很多，如果有多台服务器的话，扫描工具的价格会明显上升。

3.3 按管理员授权

对于大多数企业而言，这种授权方式，比较简单，性价比也较好。

4、总结

在现在的互联网环境中，威胁无处不在。2003年1-3季度，CERT协调中心就收到超过114，000个漏洞事件报告，这个数字超过2002年的总和，这表明，此类事件在不断增长中。为了防范攻击，第一件事就是在黑客发动攻击之前，发现网络和系统中的漏洞，并及时修复。 但是，漏洞扫描工具在特性、精确性、价格以及可用性上差别较大，如何选择一个正确的隐患扫描工具，尤为重要。