图3: 输入服务器ip地址并登录以及用nessus_adduser来设置密码



　　4.0 使用nessus

　　现在我们已经安装了并连接了nessus，接下来我们开始讨论nessus的功能了。nessus最强大的部分就是它的插件特性。插件的选择是依次扫描成功的关键。大多数的插件都写得很好，很少会造成漏报或者误报；但是，少数的插件却存在这样的情况。一个编写得不好的插件的例子就是rfp编写的针对windows iis msdac/rds漏洞的攻击测试代码。rain forest puppy (rfp)在1999年公布了该漏洞。该漏洞利用了/msadc/msadcs.dll文件并导致对未打补丁的iis 4.0服务器的完全控制。该nessus插件存在的问题是它只检查该文件是否存在。它并没有考虑服务器是否有打补丁以及windows的版本问题。因此如果在扫描中包含了该插件的话会对 许多的iis服务器产生误报，因此你需要手工来处理这些误报的问题。

　　但是在有些人叫嚣，“开放软件中的问题真是多”之前，我想指出的是在那些价格很高的“有技术支持”的漏洞扫描器中也存在相同的问题。这个问题和软件的类型没关，而是由目前的技术水平造成的。而区别其实在于使用那些商业扫描器的时候你不能像使用nessus那样可以对那些“专有”的检测手段进行检查，因此让误报的鉴别工作变得更困难。

4.1 选择危险/非危险插件

　　插件的分类方式有很多种，有一些分类方式比较有迷惑性。方法相似的插件是分在一类的。更重要的是，一些插件被分到了危险/拒绝服务(dos)类。这些插件会进行dos攻击并会造成实际存在这类漏洞的系统崩溃。因此我也不必提醒使用者不能对那些业务系统盲目的进行这种类型的测试了。虽然这些测试不会造成长期的破坏，但是至少重新启动这些系统才能恢复正常的工作。在unix和windows客户端下，都有按钮可以选择“使用所有的插件(enable all plug-ins)”或者“使用除了危险插件以外的所有插件(enable all but dangerous plug-ins)”(在nessuswx下叫做”enable non-dos”)。需要注意的是一般是插件的作者来决定该插件是否属于危险插件的。大多数情况下这些插件的类型选择都是很合理的。但是还是有一些例外(例如：rpc_endpoint mapper插件)会造成dos但是却没有列在危险插件清单中。unix下的本地客户端用一个警告三角形区分了危险插件。而nessus下却除了“enable non-dos”按钮以外没有其他特殊的方式来区分危险插件。还需要注意的是有些情况下“非危险”插件同样会造成系统或者服务的崩溃。因为这些插件一般都是发送的非标准信息，因此风险虽然很小但是始终存在，一些潜在的dos情况总会在无意中产生。所以每当在对系统进行扫描的应当注意系统崩溃的情况，虽然可能性不大，但是即使只使用非危险插件的情况下也有很小的几率出现这样的问题。下面的图4中显示了在unix下的gui客户端中选择使用插件的情况。图5和图6显示的是windows平台下使用nessuswx进行插件选择的情况：

　　

　　图4: 在unix nessus gui中选择使用所有非危险插件

　　

　　图5: 在windows nessuswx客户端中选择使用的插件

　　

　　图6: 在windows nessuswx客户端中使用非危险插件


　　4.2 安全检查

　　现在我们开始介绍与安全检查相关的概念了。安全检查会去掉那些与安全检查兼容的插件中危险的部分而只利用例如查看banner中的版本这样的被动方式来对目标进行检查。由于被检测的系统或者服务可能打上了补丁或者采取了临时解决方案，安全检测的准确性比实际对漏洞进行利用来进行判断的方式准确性要低。它们可能会造成漏报或者误报。但是有价值的是这样的检测不会造成系统的崩溃。安全检查选项在扫描选项页面里(nessuswx中的选项页面)。图7中显示的是nessuswx的安全检查选项接口：

　　图7: 选择安全检查



　　还有一种插件的组织放肆后是根据目标产品类型进行分类例如windows, ftp, snmp. smb. cisco等等。我认为这种很随意的分类方式实际的效果不大。例如一种只在windows系统下存在的ftp漏洞是应该分在windows类呢还是分在ftp类呢？因为类型的选择取决于插件的编写者，所以这这两种类型都有可能出现。nessus中的过滤/选择机制对于分离出某些特定的漏洞很有帮助。过滤器可以通过插件名称，插件编号等等来创建。点击类型然后再选择插件就可以显示插件具体测试的内容是什么。如果需要跟深入的了解细节，则可以查看cgi.nessus.org/plugins/中的实际nasl代码。注意dos分类的插件与危险/dos类的插件并不完全相同。一个危险/dos分类的查禁会对漏洞进行利用而dos类的插件只是通过例如检查软件版本这样的方式来检查漏洞。如果要对一个非业务系统进行没有顾及的扫描的话，允许使用所有的插件是最好的选择。如果需要进行隐秘扫描或者对业务系统进行扫描，那么插件的选择工作就会变得复杂。

　　4.3 端口扫描

　　扫描过程的另一个关键部分是端口扫描。端口扫描是确定一个ip地址上所有活动端口的过程。每个端口都是与某个特定的应用程序绑定的。nessus是一种智能的扫描器，它指挥在某个特定的程序可以进行测试的情况下才对其进行测试。例如，只有在发现web服务器运行的端口有效的情况下才会使用web服务器插件进行测试。因为管理员经常会改变端口的默认值来隐藏服务，因此nessus提供了一个叫做services的插件。该插件会尝试识别在每个端口运行的具体程序。一旦确定了对应的应用程序，就只使用用户选择的以及相关的插件对其进行测试。

　　nessus中可以选择多种方式来对端口进行扫描。 nessus中包含了内置的nmap，nmap目前被认为是业内最好的端口扫描器。它同时还有另外一种内部扫描器以及一个可以自定义的ping扫描器。这如同插件选择一样，端口扫描也取决于具体的情况。对于简单的扫描来说，在unix gui下的”perf”标签中和nessuswx下的端口扫描标签中选择并以默认参数运行的内部”sync”扫描就足够能满足要求了。图8和9分别是在nessuswx以及unix gui客户端下进行syn扫描选项选择的情况：

　　

　　图8: 在nessuswx中配置内部的syn扫描来进行简单的端口扫描

　　

　　图9: 在unix客户端中配置内部的syn扫描来进行简单的端口扫描


　　4.3 指定目标

　　最后的任务是对你的目标进行指定。配置工作是在目标标签页中完成的。目标可以指定为单个的ip地址，自网或者一个ip地址段。我一般将目标分成几个逻辑组。因为一次处理一个小的组会让工作变得更简单。图10和11显示了在两种客户端下对目标进行选择的情况：

　

　

　　图10: 在unix gui下指定目标

　　图11: 在nessuswx下选择目标



　　4.4 开始扫描

　　当nessus客户端和服务器都准备完成以后你就可以对系统进行扫描了。在unix gui中要开始扫描只需要点击窗口中的”start scan”按钮就可以了。在nessuswx中，右键点击准备进行扫描的会话然后在菜单中选择execute。只要使用得当，nessus可以找出系统中存在的问题并给出解决方案，但是运用不好的话它可能会造成系统崩溃，丢失数据等等。使用的工具越强大，随之而来的风险与责任也大。被扫描的系统在很少的情况下会崩溃。因此不要在没有许可的情况下对系统进行扫描。我建议你第一次使用nessus来进行扫描的时候最好是对自己用做测试的系统进行扫描。本文就不对整个扫描过程，区分误报以及隐秘扫描，防火墙扫描技术等进行讨论了。图12，13和14显示的是用nessuswx进行扫描的情况。

　　

　　图12: 在nessuswx中开始扫描

　　

　　图13: 在nessuswx中开始扫描

　　

　　图14: 正在进行的nessuswx扫描