漏洞扫描器使用答疑

来源：ChinaITLab 作者：出处：巧巧读书 2006-08-08 进入讨论组

关键词：cgi ftp linux linux系统 perl

　　学习网络安全的电脑爱好者必经之路是学习如何使用漏洞扫描软件，然而大多数人在学习的时候都会遇到一些问题，如果这些问题不能及时得到解决，有可能就会让学习者失去兴趣，从而放弃学习网络安全知识。

为了让大家能够顺利的完成漏洞扫描工作，我将这其中经常遇到的一些普遍性问题汇集了一下，希望能够给大家一些帮助。
　　
　　1、为什么我找不到扫描器报告的漏洞？
　　
　　扫描器报告服务器上存在某个存在漏洞的文件，是发送一个GET请求并接收服务器返回值来判断文件是否存在，这个返回值在HTTP的协议中有详细的说明，一般情况下“200”是文件存在，而“404”是没有找到文件，所以造成上面现象的具体原因就暴露出来了。
　　
　　造成这个问题的原因可能有两种：第一种可能性是您的扫描器版本比较低，扫描器本身存在“千年虫”问题，对于返回的信息扫描器在判断的时候，会错误的以为时间信息2000年x月x日中的200是“文件存在”标志，这样就会造成误报；
　　
　　另外一种可能性是服务器本身对“文件不存在”返回的头部信息进行了更改，如果GET申请的文件不存在，服务器会自动指向一个“没有找到页面”的文档，所以无论文件是否存在，都不会将“404”返回，而是仍然返回成功信息，这样做是为了迷惑漏洞扫描器，让攻击者不能真正判断究竟那个漏洞存在于服务器上。
　　
　　这一问题的解决办法也要分情况讨论，一般说来第一种情况比较容易解决，直接升级漏洞扫描器就可以了，对于第二种情况需要使用者对网络比较熟悉，有能力的话可以自己编写一个漏洞扫描器，自己编写的扫描器可以针对返回文件的大小进行判断，这样就可以真正确定文件是否存在，但这种方法对使用者的能力要求较高。
　　
　　2、我使用的扫描器速度和网络速度有关系嘛？
　　
　　关系不大。扫描器发送和接收的信息都很小，就算是同时发送上百个GET请求一般的电话上网用户也完全可以做得到，影响扫描器速度的主要因素是服务器的应答速度，这取决于被扫描服务器的系统运行速度。如果使用者希望提高自己的扫描速度，可以使用支持多线程的扫描器，但是因为使用者本地电脑档次问题，也不可能将线程设置到上百个，那样的话会造成本地系统瘫痪，一般使用30个线程左右比较合适。
　　
　　另外对于很多网络服务器来说，为了防止黑客的扫描行为，可能会在防火墙上设置同一IP的单位时间GET申请数量，这样做目的就是避免黑客的扫描和攻击，所以在提高本地扫描速度之前，应该先确认服务器没有相应的过滤功能之后再使用。
　　
　　3、扫描器报告给我的漏洞无法利用是什么原因？
　　
　　确切地说扫描器报告的不是“找到的漏洞”，而是找到了一个可能存在漏洞的文件，各种网络应用程序都可能存在漏洞，但是在更新版本的过程中，老版本的漏洞会被修补上，被扫描器找到的文件应该经过手工操作确认其是否是存在漏洞的版本，这可以通过阅读网络安全网站的“安全公告”获得相应知识。
　　
　　对于已经修补上漏洞的文件来说，也不代表它一定不再存有漏洞，而只能说在一定程度上没有漏洞了，也许在明天，这个新版本的文件中又会被发现还存在其他漏洞，因此这需要网络安全爱好者时刻关注安全公告。当然如果攻击者或者网络管理员对编程比较熟悉，也可以自己阅读程序并力图自己找到可能的安全隐患，很多世界著名的黑客都是不依靠他人，而是自己寻找漏洞进行攻击的。
　　
　　4、扫描器版本比较新，然而却从来没有找到过漏洞是什么原因？
　　
　　有一些扫描器专门设计了“等待时间”，经过设置可以对等待返回信息的时间进行调整，这就是说在“网络连接超时”的情况下，扫描器不会傻傻的一直等待下去。但如果你的网络速度比较慢，有可能造成扫描器没有来得及接收返回信息就被认为“超时”而越了过去继续下面的扫描，这样当然是什么也找不到啦。
　　
　　如果问题真的如此，可以将等待时间设置的长一些，或者换个ISP拨号连接。
　　
　　5、扫描器报告服务器没有提供HTTP服务？
　　
　　网络上大多数HTTP服务器和漏洞扫描器的默认端口都是80，而有少量的HTTP服务器并不是使用80端口提供服务的，在确认服务器的确开通了网站服务的情况下，可以用端口扫描器察看一下对方究竟使用什么端口进行的HTTP服务，网络上常见的端口还有8080和81。
　　
　　另外这种情况还有一种可能性，也许是使用者对扫描器的参数设置不正确造成的，很多扫描器的功能不仅仅是漏洞扫描，有可能还提供了rpc扫描、ftp默认口令扫描和NT弱口令扫描等多种功能，因此在使用每一款扫描器之前，都应该自己阅读有关的帮助说明，确保问题不是出在自己身上。
　　
　　6、扫描器使用过程中突然停止响应是为什么？
　　
　　扫描器停止响应是很正常的，有可能是因为使用者连接的线程过多，本地系统资源不足而造成系统瘫痪、也可能是因为对方服务器的响应比较慢，依次发送出去的请求被同时反送回来而造成信息阻塞、还有可能是服务器安装了比较恶毒的防火墙，一旦察觉有人扫描就发送特殊的数据报回来造成系统瘫痪……
　　
　　因此扫描器停止响应不能简单的说是为什么，也没有一个比较全面的解决方案，不过一般情况下遇到这种问题，我建议你可以更换其他扫描器、扫描另外一些服务器试试，如果问题还没有解决，就可能是因为扫描器与你所使用的系统不兼容造成的，大多数基于微软视窗的漏洞扫描器都是运行在Windows9X下的，如果是Win2000或者NT也有可能造成扫描器无法正常工作。
　　
　　7、下载回来的扫描器里面怎么没有可执行文件？
　　
　　扫描器不一定非要是可执行的exe文件，其他例如perl、cgi脚本语言也可以编写扫描器，因此没有可执行文件的扫描器也许是运行在网络服务器上的，这种扫描器可以被植入到网络上的其它系统中，不需要使用者上网就能够24小时不停的进行大面积地址扫描，并将结果整理、分析，最后通过Email发送到指定的电子信箱中，因此这是一种比较高级的扫描器，初学者不适合使用。
　　
　　另外注意载下在扫描器的时候注意压缩报文件的扩展名，如果是tar为扩展名，那么这个扫描器是运行在Linux系统下的，这种其它操作平台的扫描器无法在视窗平台下应用，文件格式也和FAT32不一样。
　　
　　8、扫描器只报告漏洞名称，不报告具体文件怎么办？
　　
　　只要漏洞被发现，网络安全组织即会为漏洞命名，因此漏洞名称对应的文件在相当广泛的范围内都是统一的，只要知道了漏洞的名称，黑客就可以通过专门的漏洞搜索引擎进行查找，并且学习到与找到漏洞相关的详细信息。这种“漏洞搜索引擎”在网络上非常多，例如我国“绿盟”提供的全中文漏洞搜索引擎就是比较理想的一个。