漏洞扫描工具GFI LANguard

出处：ZDNet China 作者：ZDNet China 时间：2007-7-27 1:49:08

GFI LANguard网络安全扫描器是一个漏洞扫描工具，主要致力于告知你，在你的电脑环境中，可能会在哪里存有问题。它的扫描功能和过滤功能都是非常令人惊讶的，并且可以让你从桌面上收集非常多的相关信息。一旦收集到了信息，你可能需要对它采取行动。这就是需要工具集出马的地方了。

可以支配哪些工具？

可用的工具如下所示，你可以在浏览器树形视图下，在程序的左侧面板，Tools的下面找到它们，如图A所示。

漏洞扫描工具GFI LANguard（上）

图A 在LNSS中可用的附加工具

你将看到的这些工具包括：

◆Deploy Microsoft Updates（部署微软更新）: 允许实施微软的相关更新
◆Deploy Custom Software（部署自定义软件）: 允许对其他软件进行部署，比如Firefox。
◆DNS Lookup（DNS查看）: 允许对你的网络上的机器名进行解析。
◆Traceroute（追踪路由）: 显示到达某台主机所经的路由信息。
◆Whois: 互联网“Whois”引擎，用于查询。
◆Enumerate Computers（枚举电脑）: 一个实用工具，用于列出某个域中的所有电脑。
◆Enumerate Users（枚举用户）：一个实用工具，用于列出某个域中的所有用户。
◆SNMP Audit（SNMP审核）: 对于指定的主机，鉴定弱SNMP共有字符串。
◆SNMP Walk（SNMP行走）：探测你的网络以获取SNMP信息
◆SQL Server Audit（SQL服务器审核）: 对SQL的账户执行基于字典的攻击。

部署微软更新

到目前为止，我们所有人看到的Windows Update，都是一个自动执行来自微软补丁安装的服务。但是，微软其实还有另外一个免费服务，叫做“Windows Server Update Services（Windows服务器更新服务）”，可以直接帮助完成企业级别的补丁更新工作。

WSUS是一个很好的工具，但是有时候在服务器架上没有足够的空间来存放，或者预算不足以购买另一台服务器，来专用于监控Windows以及Office的补丁。这时，LNSS就可以帮得上忙了。通过进行错漏补丁的扫描，你可以收集整理出所需补丁的项目列表。关于LNSS之中的微软更新工具，最棒的事情就是它可以被设定为定期执行，就像使用WSUS进行部署一样，只不过当事情发生时，需要有更多一点的控制罢了。

作为一个示例，我们会扫描一台单独PC，扫描一下错漏的补丁，看看是否需要更新什么。你应当执行下述步骤：

1. 在LNSS左侧面板上点击“Security Scanner（安全扫描器）”节点。
2. 选择一个扫描目标。（就本例而言，我输入了127.0.0.1，这样我们扫描的就是我的本地电脑）。
3. 选择“Missing Patches”类型文件。

你的屏幕看起来应当是类似图B这样，所有的项目都设置好了。

漏洞扫描工具GFI LANguard（上）

图B Missing Patch（错漏补丁）的扫描设定

一旦扫描所需的设定都配置完毕，点击“Scan（扫描）”按钮，开始分析指定系统。当扫描完成后，你会在已经扫描过的电脑面板上，看到类似图C这样的情况。

漏洞扫描工具GFI LANguard（上）

图C 扫描过的项目

在你选择漏洞列表项目时，项目的扫描结果将显现在中间面板的右半侧，显示在被扫描电脑上找到了哪些错漏调的更新。扫描结果如图D所示。

漏洞扫描工具利器：GFI LANguard（上）

图D 错失补丁的结果

要为这些错漏的补丁，执行相应部署的话，右键点击屏幕左侧的漏洞列表项目，或者右键点击任何一个被发现错漏调的补丁。选择“Deploy Microsoft Updates（部署微软更新）”, 然后选择“On Selected Computers（在被选中的电脑上）”.

一旦你已选择了打算如何部署更新，控制台屏幕会改变为显示部署选项，如下面的图E所示。当部署微软更新的时候，LNSS会分别处理补丁和Service Pack包。基于这个理由，任何要被部署的Service Pack，都将需要被安排从补丁中单独分离出来。

漏洞扫描工具利器：GFI LANguard（上）

图E 微软更新部署

当这个屏幕打开时，被选中更新的状态会显示出来。如果更新文件尚未被下载，右键点击它们，然后选择“download（下载）”，即可从互联网上下载相应的更新文件。当文件下载时，你就可以为这次部署设定其他选项了。如屏幕底部所显示的，是计划立刻实施此次部署，或是在指定的日期和时间下再进行部署的相关选项。

仅在你非常确定要进行的更新肯定不需要重新启动的情况下，你才可以使用“deploy immediately（立刻部署）”。

你可以使用“Deploy on”框（如图F所示），以指定在业余时间，或者是在周末才进行更新。 LNSS将安装和开启一个服务，以便处理在选中的客户机上的相关更新，并在任务完成后，将其自身再从客户机上移除。

漏洞扫描工具利器：GFI LANguard（上）

图F 选择何时部署更新

在按下“Start（开始）”按钮之前，还有另外一个选项面板可以进行设置，但这不是必需的。在部署屏幕上，LNSS控制台的最右侧，是选项板。其General页面如下文的图G所示。

漏洞扫描工具利器：GFI LANguard（上）

图G General标签含有可选部件

这里你可以告知LNSS，是否应当在部署之前对用户提出警告。一般情况下，我会去掉这个选择，以免去不必要的询问，或者是为了在工作以外的时间才进行相应更新。

你也可以在部署之前停止被选中的服务。举例来说，如果你是在部署一个SQL服务器补丁，需要先停止MSSQLSERVER服务的话，那么这个功能就能助你一臂之力。

你能做的另一件事情是强制重启，并选择一台满足指定过滤要求的电脑。也许，你只是不想那些更新被发送到运行Windows 95的电脑上罢了。所有这些可选的项目都可以在Options（选项）面板中进行配置。

Advanced（高级）标签允许你修改某个部署的超时期限，并可以指定备用的信用凭据，以防在需要你是系统管理员时，你使用的却是某个普通权限的帐号。你也可以为LNSS设定，一次部署中的线程数量是多少。 GFI推荐最多不要超过5个线程，5个是默认的。

在Download Directory（下载目录）标签上，你可以指定一个目录以存放下载的补丁，或者你可以设定LNSS和一台WSUS服务器协同工作。

一旦你的部署所有配置都做完了，就可以点击“Start（开始）”按钮了。如果该部署是被安排立刻执行，那你就可以看到控制台窗口开始活动了。如果它被安排过些时候再执行，那么到时候定期程序会出现，并由LNSS监控器执行。

DNS查找

LNSS还提供了一个工具，用于在你的组织中对电脑的DNS信息进行解析。 Windows中也提供了同样的工具，但是LNSS的简便界面显然容易得多了。 DNS查找工具在LNSS窗口的主要部分之中运行。图H显示了主机名输入框。

漏洞扫描工具GFI LANguard（下）

图H 在框中输入一个主机名称，或者一个IP地址

当你按下“Retrieve（获取）”，LNSS将为你所输入的主机获取相关DNS信息。图I显示了你可以为DNS获取所使用的可用选项。

漏洞扫描工具GFI LANguard（下）

图I LNSS将自动获取DNS信息

默认选项如图I所示。它只会获取电脑的普通信息：如果输入的是主机名称，那么返回的将是IP地址；反之，如果输入的是一个IP地址，那么返回的将是主机名称。

如果你选了“Host Information（主机信息）”，那么在可能的情况下，还会返回相关的硬件信息以及域操作系统信息。你可以根据需要，通过选中aliases框以及NS Records，来获取可能的DNS别名。要指定备用的DNS域名服务器，以备信息查询，并将他们加入图I所示的底部列表。默认情况下，将使用服务本地域的DNS服务器。规则集合生成一个默认的基本查询，如中间面板的中间区所示。 DNS查找127.0.0.1则如图J所示。

漏洞扫描工具GFI LANguard（下）

图J 本地loopback（回环）地址的DNS查找信息

Trace Route(追踪路由)
这个工具计算在查询电脑和主机电脑之间的跃点。 LANguard将这个工具也合并进了它的GUI界面中。使用追踪路由工具，当你在输入框中输入一个主机或者IP地址（图Ｋ），结果集合会显示出数据到达主机所需经过的跃点数目。

漏洞扫描工具GFI LANguard（下）

图k 输入希望追踪的IP地址

如图L所示，追踪路由的选项，有下述项目：

◆Do not resolve IP addresses（不对IP地址解析）: 在追踪时不返回跃点的IP地址。
◆Repeat trace every n seconds (每隔多少秒重复一次追踪，默认值30): 重复当前追踪，直到停止。

漏洞扫描工具GFI LANguard（下）

图L 你可以指定追踪路由选项

你也可以配置某个追踪路由的响应设定响应选项如下所述：

◆Return Timeout After（多久之后返回超时）: 允许你配置LNSS等待响应的时间，超过时间之后认为是超时。
◆Timeout Steps Before Stop（停止之前的超时步骤）: 追踪停止之前需要经历的跃点数目。
◆Slow Response Icon After（多久之后显示缓慢响应图标）: 在指定数目的毫秒时间之后，显示一个图标。
◆Very Slow Response Icon（非常缓慢的响应图标）: 在一个更久的延迟之后，显示一个不同的图标。

当一个追踪运行时，一个类似DNS查找工具那样的响应文本会显示出来。

Whois（谁是谁）

许多域登记者（或者其他网站）可以提供有关某个域所有者的信息，以及其他一些技术细节。 LANguard提供了一个类似的工具来帮助你。如图M所示，在输入框，可以输入IP地址，域名，或者机器名。输出结果和许多网页服务所提供的whois服务非常相似。

漏洞扫描工具GFI LANguard（下）

图M 你可以从LNSS中执行whois

使用LNSS的whois工具，可以让你在图形界面中设置选项。如图N所示的选项屏幕，列出了可用设定。

漏洞扫描工具GFI LANguard（下）

图N 你可以指定whois的特殊设置

你可以指定一个查询所用的whois服务器，或者让LNSS自动为你选择一个。在选项中所提供的服务器列表，可以按照需要进行编辑。

枚举电脑

这个工具将建立一个指定工作组或者指定域中所有的电脑列表。如果在你的环境中发生了太多改变，或者当你试图建立一个新列表，以统计你的域中所有电脑时，这个工具将是非常有用的。

这个工具也有助于将工作站以及服务器电脑分隔到不同的列表中，以备将来的扫描之用。这样的话，你就可以安排在夜间对你的工作站进行扫描，而对服务器进行的扫描则被安排在周六进行。要使用它，输入或者选择打算建立列表的域名，然后按下“Retrieve（检索）”。 LNSS会扫描指定的域，并显示一个电脑列表。

举例来说，如果你打算建立一个域中所有使用Windows XP的电脑列表，你可以在扫描中配置具体选项，如图O所示，然后对指定域进行扫描。

漏洞扫描工具GFI LANguard（下）

图O 你可以只扫描满足特定条件的电脑

你可以限制你的列表为只包含上述某个选项之一的电脑，或者是只包含那些满足了多项选择的电脑。默认情况下，每台电脑的Windows浏览器接口都是被用于在枚举中生成所需信息的。你可以对此进行修改，以从活动目录中获取信息，如果你是在使用一个活动目录域的话。

通过使用来自活动目录中的信息，你可以为枚举添加额外公布的目录信息。如图P所示，则是修改该设定的面板

漏洞扫描工具GFI LANguard（下）

图P 这里就是你告知LNSS从活动目录中抽取信息的所在

活动目录所提供的额外信息在用于定位除电脑以外的设备时很有用处

枚举用户

和枚举电脑类似，你也可以使用LNSS来枚举用户。这在确定到底那些账户不再需要了，应当进行禁止，或者在一定时间之后应当删除时会特别有用。

要使用LNSS建立一个用户列表，你需要选择具体要列出用户的域。一旦你选定了域，你可以设定扫描的下述选项：

◆Enumerate All Users（枚举所有用户）：列出在域中的所有用户账户。
◆Enumerate Users（枚举用户）：仅列出用户账户。
◆Enumerate Contacts（枚举联系）：仅列出联系账户。

你也可以设定LNSS加亮被锁定或者被禁止的账户，这样可以很容易的从列表中找到他们。用户枚举的面板如图Q所示。

漏洞扫描工具GFI LANguard（下）

图Q 你也可以扫描用户信息

如果说这个工具还有什么不好之处的话，那就是这个工具无法在工作组环境下工作，所以你必须有一个域。

SNMP审核

你可以使用LNSS来监控网络中的设备，以寻找SNMP问题，并使用结果信息来帮助管理你的网络环境。该工具将寻找任何你提供主机上的弱共同串。

输入你打算扫描的主机IP地址，然后按下“Retrieve（获取）”。它找到的信息会在LNSS控制台的中间面板底部显示出来。 LNSS的SNMP工具的可用选项很少。你所能做的，只有指定SNMP执行扫描时所应使用的词典文件而已。

SNMP扫描
这个工具可以用于在你的网络环境中寻找特定的信息。你可以对某个主机的IP地址执行扫描，该工具将返回该主机的OID，以及其他可以找到的相关信息。

默认情况下，这个扫描将在扫描时使用public共用串，如图R所示。用户可以配置这个选项。

漏洞扫描工具GFI LANguard（下）

图R 你可以设定SNMP扫描时使用自定义的串

SQL服务器审核

SQL服务器审核工具使用字典形式的攻击，来检查网络环境中SQL密码的正确性。这是一个很有用的工具，在网络中存在多个SQL系统管理员时，可以用于找出哪些ID存在着弱口令或者空白口令。

该工具主要是通过猜测所选账户的口令来进行工作。如果该账户的口令无法被猜出，测试就会停止。

你可以对指定账户，也可以对所有账户使用该工具。对所有账户使用这个工具时，因为需要对SQL服务器的登录，所以能生成一个包含所有账户的列表。一旦选项设置好了，在屏幕顶部的输入框中选择要审核的SQL服务器，然后点击“Audit（审核）”。结果将在LNSS控制台中间栏中显示出来。

账户指定以及词典文件选项如下面的图S所示。词典文件中包含了将被用于猜测账户密码的相关口令列表。这个文件可以进行自定义，以添加额外的口令，以便审核工具在测试登录时使用。

漏洞扫描工具GFI LANguard（下）

图S SQL服务器审核的账户指定，以及词典文件选项

网络技术

漏洞扫描工具GFI LANguard