第十一講攻擊與防范

1、第十一講 攻擊與防范,主要內(nèi)容,攻擊漏洞,攻擊——含義,攻擊可以是未授權(quán)的個(gè)人訪問或者修改信息的嘗試，欺騙系統(tǒng)使一個(gè)未授權(quán)的人接管授權(quán)會(huì)話，或者中斷對(duì)授權(quán)用戶的正常服務(wù)。破壞：使攻擊目標(biāo)不能正常工作，但不能隨意控制目標(biāo)上的系統(tǒng)運(yùn)行。入侵：通過獲得一定的權(quán)限來達(dá)到控制攻擊目標(biāo)的目的。,攻擊——常見的攻擊,拒絕服務(wù)攻擊緩沖區(qū)溢出攻擊木馬攻擊其它攻擊,拒絕服務(wù)攻擊——簡介,拒絕服務(wù)攻擊的主要企圖是借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配

2、置漏洞進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖，妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)的性能受損甚至導(dǎo)致服務(wù)中斷。拒絕服務(wù)攻擊是目前黑客常用的攻擊手法，由于可以通過使用一些公開的軟件進(jìn)行攻擊，它的發(fā)動(dòng)較為簡單，能夠迅速產(chǎn)生效果，同時(shí)要防止這種攻擊又非常困難。從某種程度上可以說，拒絕服務(wù)攻擊永遠(yuǎn)不會(huì)消失，而且從技術(shù)上目前還沒有根本的解決辦法。,拒絕服務(wù)攻擊——概念,“拒絕服務(wù)攻擊(Denial of

3、Service)”的方法，簡稱DoS，是阻止或拒絕合法使用者存取網(wǎng)絡(luò)服務(wù)的一種破壞性攻擊方式。它的惡毒之處是通過向服務(wù)器發(fā)送大量的虛假請(qǐng)求，服務(wù)器由于不斷應(yīng)付這些無用信息而最終筋疲力盡，而合法的用戶卻由此無法享受到相應(yīng)服務(wù)，實(shí)際上就是遭到服務(wù)器的拒絕服務(wù)。攻擊廣義上，DoS可以指任何導(dǎo)致服務(wù)器不能正常提供服務(wù)的攻擊。這種攻擊可能就是潑到服務(wù)器上的一杯水，或者網(wǎng)線被拔下，或者網(wǎng)絡(luò)的交通堵塞等，最終的結(jié)果是正常用戶不能使用他所需要的服務(wù)了

4、，不論是在本地或者是遠(yuǎn)程。,拒絕服務(wù)攻擊——舉例,SYN洪水是DoS攻擊的一種形式，它基于TCP/IP網(wǎng)絡(luò)的工作原理，可以用于解釋任何DoS攻擊的原理。SYN洪水利用了在兩個(gè)系統(tǒng)之間建立連接的TCP三次握手。在正常的環(huán)境下，客戶端向它希望與之通信的服務(wù)器發(fā)送SYN數(shù)據(jù)包，如果服務(wù)器能夠接受這個(gè)請(qǐng)求的話，則用SYN/ACK響應(yīng)。當(dāng)客戶端從服務(wù)器收到SYN/ACK時(shí)，它就響應(yīng)一個(gè)ACK數(shù)據(jù)包，通信就可以進(jìn)行了。,拒絕服務(wù)攻擊——攻擊手段舉例

5、,在SYN洪水攻擊中，攻擊者向目標(biāo)系統(tǒng)發(fā)送虛假的通信請(qǐng)求。這些請(qǐng)求會(huì)被目標(biāo)系統(tǒng)所響應(yīng)，然后等待第三次握手。因?yàn)檎?qǐng)求是虛假的（在請(qǐng)求中使用的是不存在的IP地址，以至于目標(biāo)系統(tǒng)向一個(gè)不存在的系統(tǒng)作出響應(yīng)），目標(biāo)系統(tǒng)等待的響應(yīng)永遠(yuǎn)也不會(huì)發(fā)生。在超過一個(gè)特定的時(shí)間周期之后，目標(biāo)系統(tǒng)將終止這些連接，但是如果攻擊者發(fā)送請(qǐng)求的速度要比清除它們的速度快，系統(tǒng)很快就會(huì)被這些請(qǐng)求填滿。一個(gè)系統(tǒng)能夠支持的連接的數(shù)量是有限的，所以當(dāng)進(jìn)來的請(qǐng)求超過能夠處理的請(qǐng)求

6、的時(shí)候，系統(tǒng)的所有連接很快就被虛假請(qǐng)求所占滿。在這一點(diǎn)上，任何進(jìn)一步的請(qǐng)求簡單地被中斷（忽略），希望與目標(biāo)系統(tǒng)建立連接的合法用戶也無法連接到目標(biāo)系統(tǒng)，因而對(duì)系統(tǒng)的使用也被拒絕。,緩沖區(qū)溢出攻擊——簡介,緩沖區(qū)溢出攻擊是一種通過往程序的緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他預(yù)設(shè)指令，以達(dá)到攻擊目的的攻擊方法。緩沖區(qū)溢出是一種相當(dāng)普遍的缺陷，也是一種非常危險(xiǎn)的缺陷，在各種系統(tǒng)軟件、應(yīng)用軟件中廣泛

7、存在。緩沖區(qū)溢出可以導(dǎo)致程序運(yùn)行失敗、系統(tǒng)死機(jī)等后果。如果攻擊者利用緩沖區(qū)溢出使計(jì)算機(jī)執(zhí)行預(yù)設(shè)的非法程序，則可能獲得系統(tǒng)特權(quán)，執(zhí)行各種非法操作。,緩沖區(qū)溢出攻擊——內(nèi)存溢出舉例,,,,#include void flowingover(char *s1) { //子函數(shù) char s2[32];strcpy (s2，s1);printf (s2);}void main() { //主函數(shù)char s1[25

8、6];printf ("Please enter 31 characters or less\n");gets (s1);flowingover (s1);},經(jīng)費(fèi)使用情況,,木馬攻擊——簡介,源于特洛伊木馬（Trojan house）的簡稱，其名稱源自古希臘神話傳說。指附著在應(yīng)用程序中或者單獨(dú)存在的一些惡意程序，可以利用網(wǎng)絡(luò)遠(yuǎn)程響應(yīng)網(wǎng)絡(luò)另一端的控制程序的控制命令，實(shí)現(xiàn)對(duì)感染木馬程序的計(jì)算機(jī)的控制，或者竊取

9、感染木馬程序的計(jì)算機(jī)上的機(jī)密資料。木馬程序一般利用TCP/IP協(xié)議，采用C/S結(jié)構(gòu)，分為客戶端和服務(wù)器端兩個(gè)部分，并一般運(yùn)行于網(wǎng)絡(luò)上不同的兩臺(tái)計(jì)算機(jī)上。服務(wù)器端程序運(yùn)行于被攻擊的計(jì)算機(jī)上。而客戶端程序在控制者的計(jì)算機(jī)上?？蛻舳顺绦蚩梢酝瑫r(shí)向多個(gè)服務(wù)器端程序發(fā)送命令以控制這些計(jì)算機(jī)?？蛻舳顺绦蛞话闾峁┯押玫牟僮鹘缑?，以便于用戶操作，其功能可能很多。,木馬攻擊——簡介（續(xù)1）,木馬常被偽裝成工具程序或者游戲來誘使用戶打開帶有木馬程序的郵件

10、附件或從網(wǎng)上下載，一旦用戶打開這些郵件的附件或者執(zhí)行這些程序，它們就會(huì)在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在啟動(dòng)時(shí)悄悄執(zhí)行的程序。這種遠(yuǎn)程控制工具可以完全控制受害主機(jī)，危害極大。對(duì)木馬程序而言，它一般包括兩個(gè)部分：客戶端和服務(wù)器端?？蛻舳顺绦蚴强刂普咚褂玫模糜趯?duì)受控的計(jì)算機(jī)進(jìn)行控制。服務(wù)器端程序和客戶端程序建立起連接就可以實(shí)現(xiàn)對(duì)遠(yuǎn)程計(jì)算機(jī)的控制了。木馬本身不具備繁殖性和自動(dòng)感染的功能。,木馬攻擊——簡介（續(xù)2）,木馬運(yùn)行時(shí)，首先服務(wù)器端

11、程序獲得本地計(jì)算機(jī)的最高操作權(quán)限，當(dāng)本地計(jì)算機(jī)連入網(wǎng)絡(luò)后，客戶端程序可以與服務(wù)器端程序直接建立起連接，并可以向服務(wù)器端程序發(fā)送各種基本的操作請(qǐng)求，并由服務(wù)器端程序完成這些請(qǐng)求，也就實(shí)現(xiàn)對(duì)本地計(jì)算機(jī)的控制了。,木馬攻擊——主要實(shí)現(xiàn)技術(shù),自動(dòng)啟動(dòng)技術(shù)木馬程序除了第一次運(yùn)行需要用戶來執(zhí)行它之外，以后一般會(huì)在每次用戶啟動(dòng)系統(tǒng)時(shí)自動(dòng)裝載服務(wù)器端程序。隱蔽技術(shù)木馬設(shè)計(jì)者為了防止木馬程序被發(fā)現(xiàn)，會(huì)盡可能地采用各種隱藏手段，不會(huì)在系統(tǒng)中顯示出來。

12、木馬程序一般體積十分細(xì)小，執(zhí)行時(shí)不會(huì)占太多的資源。遠(yuǎn)程監(jiān)控技術(shù)遠(yuǎn)程監(jiān)控功能是木馬最主要的功能，也是木馬的最終目的。包括對(duì)對(duì)方主機(jī)的鼠標(biāo)、鍵盤以及屏幕顯示甚至網(wǎng)絡(luò)通信流量流向等監(jiān)視；也包括對(duì)對(duì)方計(jì)算機(jī)系統(tǒng)信息的搜集；也可控制目標(biāo)機(jī)按照自己的意愿在被攻擊計(jì)算機(jī)上運(yùn)行程序或關(guān)閉對(duì)方的功能。,木馬攻擊——舉例,遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問受害人的硬盤，并對(duì)其進(jìn)行控制。這種木馬用起來非常簡單，只要某用戶運(yùn)行一下服務(wù)端程序

13、，并獲取該用戶的IP地址，就可以訪問該用戶的計(jì)算機(jī)。這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤記錄、上傳和下載功能、截取屏幕等等。這種類型的木馬有著名的BO（Back Office）和國產(chǎn)的冰河等。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會(huì)在每次的Windows重啟時(shí)重啟，而且它們大多數(shù)使用25端口發(fā)送E—mail。,木馬攻擊——舉例（續(xù)）,鍵盤記錄

14、型木馬非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動(dòng)而啟動(dòng)，知道受害者在線并且記錄每一件事。 毀壞型木馬的唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且很容易被使用。它們可以自動(dòng)地刪除用戶計(jì)算機(jī)上的所有的.DLL、INI或EXE文件。FTP 型木馬打開用戶計(jì)算機(jī)的21端口（FTP所使用的默認(rèn)端口）， 使每一個(gè)人都可以用一個(gè)FTP 客戶端程序來不用密碼

15、連接到該計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳下載。,木馬攻擊——對(duì)服務(wù)端的侵襲過程,其它攻擊——簡介,欺騙攻擊欺騙攻擊是網(wǎng)絡(luò)攻擊的一種重要手段。常用的欺騙攻擊方式有：DNS欺騙攻擊、Email欺騙攻擊、Web欺騙攻擊和IP欺騙攻擊等等。利用處理程序錯(cuò)誤（漏洞）攻擊作為一個(gè)系統(tǒng)整體，無論怎樣加強(qiáng)其安全性，它還是或多或少地存在著不同程度的安全漏洞，更不用說通常使用的其它各種類型的軟件了。從某種意義上來說，程序存在錯(cuò)誤幾乎再所難免。軟件開

16、發(fā)者任何一個(gè)小小的疏忽和錯(cuò)誤都會(huì)給入侵者以可乘之機(jī)。,攻擊——典型攻擊的一般過程,漏洞——含義,漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。漏洞是軟件在開發(fā)的過程中沒有考慮到的某些缺陷，也叫軟件的bug。 漏洞是指計(jì)算機(jī)系統(tǒng)軟硬件包括操作系統(tǒng)和應(yīng)用程序的固有缺陷或者配置錯(cuò)誤，這些缺陷和錯(cuò)誤很容易被黑客所利用對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。,漏洞——理解,漏洞一般指軟件的（安全）漏洞。漏洞存在通用的軟件中

17、。漏洞是事先未知、事后發(fā)現(xiàn)的。漏洞是安全隱患，如果被利用，其后果不可預(yù)知。漏洞一般能夠被遠(yuǎn)程利用。漏洞一般是可以修補(bǔ)的。,漏洞——產(chǎn)生的原因,設(shè)計(jì)上的缺陷利益上的考慮軟件變得日益復(fù)雜,漏洞——危害,計(jì)算機(jī)病毒的泛濫木馬程序的植入未經(jīng)授權(quán)或提高其訪問權(quán)限某些信息的泄漏,漏洞——舉例,,,,,,,,,,,漏洞名稱：RPC溢出漏洞 發(fā)布時(shí)間：2003-07-14 嚴(yán)重程度：高 威脅程度：遠(yuǎn)程管理員權(quán)限 危害描

18、述：遠(yuǎn)程進(jìn)入系統(tǒng)執(zhí)行任意代碼 錯(cuò)誤類型：設(shè)計(jì)錯(cuò)誤 利用方式：服務(wù)器模式 CVE ID：CAN-2003-0352受影響系統(tǒng)：Windows 系列(NT、2000、XP、2003),漏洞舉例——RPC溢出漏洞,,,,,通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。Remote Procedure Call(RPC)是Windows操作系統(tǒng)使用的一

19、種遠(yuǎn)程過程調(diào)用協(xié)議,RPC協(xié)議提供一種進(jìn)程間的交互通信機(jī)制，它允許本地機(jī)器上的程序進(jìn)程無縫的在遠(yuǎn)程系統(tǒng)中運(yùn)行代碼。該協(xié)議的前身是OSF RPC協(xié)議，但是增加了微軟自己的一些擴(kuò)展。,漏洞舉例——RPC漏洞起因,RPC的DCOM接口負(fù)責(zé)處理DCOM對(duì)象激活請(qǐng)求，但不能正確處理畸形消息。其本質(zhì)就是對(duì)其參數(shù)未能進(jìn)行有效檢查。,漏洞舉例——沖擊波的危害,據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心統(tǒng)計(jì)，在“沖擊波”病毒出現(xiàn)24小時(shí)內(nèi)，全球有140萬個(gè)網(wǎng)絡(luò)地址(

20、相當(dāng)于140萬臺(tái)以上電腦)被入侵。在“沖擊波”病毒出現(xiàn)的4個(gè)工作日內(nèi)，該中心收集到全國范圍內(nèi)的61000多個(gè)案例，受感染的計(jì)算機(jī)超過100萬臺(tái)，全國所有地區(qū)幾乎都有案例報(bào)告。它給全球互聯(lián)網(wǎng)所帶來的直接損失，將在幾十億美元左右。,漏洞——關(guān)于補(bǔ)丁,補(bǔ)丁有的為了加強(qiáng)軟件的功能而推出。安全補(bǔ)丁是軟件開發(fā)廠商為堵塞安全漏洞，提高軟件的安全性和穩(wěn)定性，開發(fā)的與原軟件結(jié)合或?qū)υ浖?jí)的程序。當(dāng)前打補(bǔ)丁是“堵”漏洞最有效的方法。,漏洞——常用打

21、補(bǔ)丁的方式,版本升級(jí)。直接執(zhí)行補(bǔ)丁程序。修改設(shè)置。禁止不必要的服務(wù)（端口）。,漏洞——漏洞、攻擊程序、補(bǔ)丁和病毒的時(shí)間關(guān)系,病毒名稱：Blaster  利用漏洞：Windows RPC 漏洞 微軟公告： MS03-026(2003.7.14)    補(bǔ)丁發(fā)布時(shí)間：2003.7.16    

22、 攻擊代碼發(fā)現(xiàn)時(shí)間：2003.7.24     病毒出現(xiàn)時(shí)間：2003.8.13      可以彌補(bǔ)時(shí)間：8天/27天,漏洞——安全漏洞的分類,網(wǎng)絡(luò)協(xié)議：TCP/IP、NetBios操作系統(tǒng)：Windows、Linux、Unix應(yīng)用服務(wù)：Ftp、POP3、Http應(yīng)用軟件：數(shù)據(jù)庫配置設(shè)置：口令設(shè)置、匿名設(shè)置、注冊(cè)表

23、網(wǎng)絡(luò)設(shè)備：路由器、防火墻,漏洞——漏洞風(fēng)險(xiǎn)程度的分類規(guī)則,攻擊者可以遠(yuǎn)程執(zhí)行任意命令或者代碼。攻擊者可以遠(yuǎn)程獲取應(yīng)用系統(tǒng)的管理權(quán)限。遠(yuǎn)程拒絕服務(wù)攻擊。 漏洞的威脅程度可以由被利用的程序的使用廣泛性來衡量。適用性越廣，威脅越高。,高級(jí),中級(jí),攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件。攻擊者可以獲取系統(tǒng)敏感信息，例如用戶名、口令信息。攻擊者可以讀取任意文件、目錄。攻擊者可以讀取特定文件、目錄內(nèi)容。潛在可能導(dǎo)致中等風(fēng)險(xiǎn)漏洞

24、的問題。,低級(jí),攻擊者可以獲取某些系統(tǒng)、服務(wù)的信息。例如操作系統(tǒng)類型、物理路徑、服務(wù)版本信息。沒有已知安全問題、但可能是不必要的服務(wù)。,漏洞——漏洞掃描器,漏洞掃描器是對(duì)網(wǎng)絡(luò)和主機(jī)的安全性進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估的軟件，是一種能自動(dòng)檢測遠(yuǎn)程或本地主機(jī)系統(tǒng)在安全性方面弱點(diǎn)和隱患的程序包。漏洞掃描就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞掃描的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安

25、全方案的一個(gè)重要組成部分。 漏洞掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)。,漏洞——漏洞掃描器示意圖,漏洞——漏洞掃描器原理、目標(biāo)和結(jié)果,原理：采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)：工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對(duì)象。結(jié)果：向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù) 。,漏洞——漏洞掃描器優(yōu)點(diǎn),在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描是一種花費(fèi)底、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)

26、行相對(duì)對(duì)立、安裝運(yùn)行簡單的工具，它可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。,漏洞——漏洞掃描器的分類,基于網(wǎng)絡(luò)的漏洞掃描器基于主機(jī)的漏洞掃描器 兩者實(shí)現(xiàn)原理基本一致 ，但體系結(jié)構(gòu)差距較大。,網(wǎng)絡(luò)漏洞掃描器——組成,漏洞數(shù)據(jù)庫模塊 用戶配置控制臺(tái)模塊 掃描引擎模塊 結(jié)果存儲(chǔ)器和報(bào)告生成工具,網(wǎng)絡(luò)漏洞掃描器——體系結(jié)構(gòu),網(wǎng)絡(luò)漏洞掃描器——基本原理,一般來說，基于網(wǎng)絡(luò)的漏洞掃描工具可以看作為一種

27、漏洞信息收集工具，他根據(jù)不同漏洞的特性，構(gòu)造網(wǎng)絡(luò)數(shù)據(jù)包，發(fā)給網(wǎng)絡(luò)中的一個(gè)或多個(gè)目標(biāo)機(jī)，以判斷某個(gè)特定的漏洞是否存在。,基于網(wǎng)絡(luò)的漏洞掃描——實(shí)現(xiàn)過程,1.根據(jù)控制臺(tái)的設(shè)置，確定掃描目標(biāo)和那些漏洞。2.向目標(biāo)機(jī)發(fā)送掃描引擎組裝好相應(yīng)的數(shù)據(jù)包，接收返回結(jié)果并與漏洞數(shù)據(jù)庫的特征值進(jìn)行比較。3.利用掃描引擎返回的掃描結(jié)果，生成掃描報(bào)告。,基于網(wǎng)絡(luò)的漏洞掃描——優(yōu)點(diǎn),價(jià)格方面。相對(duì)來說比較便宜。不需要涉及到目標(biāo)系統(tǒng)的用戶。維護(hù)簡便，尤其網(wǎng)

28、絡(luò)發(fā)生了變化的時(shí)候?；緷M足安全需求。,基于網(wǎng)絡(luò)的漏洞掃描——不足,一些漏洞不能檢測到。不易能穿過防火墻。掃描服務(wù)器與目標(biāo)主機(jī)之間安全傳輸問題。,基于主機(jī)的漏洞掃描——簡介,基于主機(jī)的漏洞掃描器，掃描目標(biāo)系統(tǒng)的漏洞的原理，與基于網(wǎng)絡(luò)的漏洞掃描器的原理類似，但是，兩者的體系結(jié)構(gòu)不一樣?；谥鳈C(jī)的漏洞掃描器通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃

29、描器能夠掃描更多的漏洞?；谥鳈C(jī)的漏洞掃描工具是由控制臺(tái)、管理器和代理三部分組成的。當(dāng)代理收到管理器發(fā)來的掃描指令時(shí)，代理單獨(dú)完成本目標(biāo)系統(tǒng)的漏洞掃描任務(wù)；掃描結(jié)束后，代理將結(jié)果傳給管理器；最終用戶可以通過控制臺(tái)瀏覽掃描報(bào)告。,基于主機(jī)的漏洞掃描——優(yōu)點(diǎn),掃描的漏洞數(shù)量多。由于通常在目標(biāo)系統(tǒng)上安裝了一個(gè)代理（Agent）或者是服務(wù)（Services），以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的漏洞掃描器能夠掃描更多的漏洞。集

30、中化管理?；谥鳈C(jī)的漏洞掃描器通常都有個(gè)集中的服務(wù)器作為掃描服務(wù)器。所有掃描的指令，均從服務(wù)器進(jìn)行控制，這一點(diǎn)與基于網(wǎng)絡(luò)的掃描器類似。服務(wù)器下載到最新的代理程序后，再分發(fā)給各個(gè)代理。這種集中化管理模式，使得基于主機(jī)的漏洞掃描器的部署上，能夠快速實(shí)現(xiàn)。網(wǎng)絡(luò)流量負(fù)載小。由于管理器與代理之間只有通訊的數(shù)據(jù)包，漏洞掃描部分都有代理單獨(dú)完成，這就大大減少了網(wǎng)絡(luò)的流量負(fù)載。當(dāng)掃描結(jié)束后，代理再次與管理器進(jìn)行通訊，將掃描結(jié)果傳送給管理器。,基于主機(jī)

31、的漏洞掃描——優(yōu)點(diǎn)（續(xù)）,通訊過程中的加密機(jī)制。所有的通訊過程中的數(shù)據(jù)包，都經(jīng)過加密。由于漏洞掃描都在本地完成，代理和管理器之間，只需要在掃描之前和掃描結(jié)束之后，建立必要的通訊鏈路。因此，對(duì)于配置了防火墻的網(wǎng)絡(luò)，只需要在防火墻上開放管理器所需的端口，管理器即可完成漏洞掃描的工作。,基于主機(jī)的漏洞掃描——不足,首先是價(jià)格方面?；谥鳈C(jī)的漏洞掃描工具的價(jià)格，通常由一個(gè)管理器的許可證價(jià)格加上目標(biāo)系統(tǒng)的數(shù)量來決定，當(dāng)一個(gè)企業(yè)網(wǎng)絡(luò)中的目標(biāo)主機(jī)較多