想要保護網(wǎng)絡(luò)安全？了解漏洞掃描的重要性是關(guān)鍵一步。本期我們將介紹使用ntopng漏洞掃描的實施方法，幫助您建立更加安全的網(wǎng)絡(luò)環(huán)境。

ntopng簡介：

ntopng 是用于監(jiān)控計算機網(wǎng)絡(luò)流量的計算機軟件，具有非常豐富的可視化圖表。它能從流量鏡像、NetFlow 導出器、SNMP 設(shè)備、防火墻日志和入侵檢測系統(tǒng)中收集流量信息，從而提供 360° 的網(wǎng)絡(luò)可視性。ntopng依靠 Redis 鍵值服務器而非傳統(tǒng)數(shù)據(jù)庫，利用 nDPI 進行協(xié)議檢測，支持主機地理定位，并能顯示連接主機的實時流量分析。

ntopng 既能被動監(jiān)控網(wǎng)絡(luò)，也能執(zhí)行漏洞掃描，其目標是檢測已知的 [CVE]（常見漏洞和暴露），并發(fā)現(xiàn)所提供服務中的 TCP 或 UDP 開放端口。

當前的實現(xiàn)利用了 [nmap] 和 [vulscan]。只需定義[新模塊]，代碼就能添加新的掃描器類型。

一、漏洞掃描頁面

在 “漏洞掃描 ”頁面，可以查看可掃描的注冊主機，以及上次執(zhí)行掃描的各種詳細信息，例如

• 掃描狀態(tài)（可以是 “正在掃描”、“已計劃”、“成功”、“未掃描”、“錯誤”）；
• 得分；（檢測到的漏洞的最大得分）
• 掃描類型；
• CVEs 計數(shù)（檢測到的漏洞）；
• TCP 端口（發(fā)現(xiàn)的開放 TCP 端口數(shù)量）；
• UDP 端口（發(fā)現(xiàn)的開放 UDP 端口數(shù)量）；
• 最后持續(xù)時間；
• 上次掃描；
• 周期

在 ntopng 執(zhí)行 TCP 或 UDP 端口掃描后，ntopng 會將網(wǎng)絡(luò)監(jiān)控檢測到的開放端口與漏洞掃描中發(fā)現(xiàn)的開放端口進行比較：

如果 Vulnerability Scan（漏洞掃描）發(fā)現(xiàn)了一個開放的 TCP（或 UDP）端口，而根據(jù)網(wǎng)絡(luò)監(jiān)控的結(jié)果，該端口當前并沒有被使用，那么在特定主機的開放 TCP（或 UDP）端口數(shù)附近就會顯示一個 ghost 圖標。

如果 “漏洞掃描 ”未能識別實際正在使用的 TCP（或 UDP）端口，但 ntopng 已通過網(wǎng)絡(luò)監(jiān)控檢測到該端口（該端口已被 “漏洞掃描 ”過濾），則會在特定主機的開放 TCP（或 UDP）端口數(shù)量附近顯示一個過濾器圖標 filter。

頁面底部有三個按鈕：

• 全部刪除（從漏洞掃描列表中刪除所有主機）；
• Schedule All Scans（安排對漏洞掃描列表中的所有主機進行掃描）；
• 批量編輯（更新漏洞掃描列表中所有主機的周期掃描）；

在執(zhí)行 “全部掃描 ”結(jié)束時，如果通知端點和相關(guān)收件人的 “通知類型 ”設(shè)置為 “漏洞掃描報告”，則會在周期性漏洞掃描結(jié)束時發(fā)送通知。

二、將主機添加到漏洞掃描列表

單擊 “漏洞掃描 ”頁面上的 “+”圖標，用戶可以添加新主機或包含特定 CIDR 下的所有活動主機。

如果用戶指定了特定的活動主機，ntopng 將自動在端口字段中填入該主機的已知服務器端口。如果未知，則該字段將為空，所有端口都將被檢查。請注意，掃描所有端口可能需要很長時間，因此我們建議（如果可能的話）將掃描限制在一小部分端口集上。

選擇主機和端口后，必須選擇一種漏洞掃描類型。目前支持五種類型的漏洞掃描：

• CVE
• IPv4 網(wǎng)絡(luò)掃描
• TCP 端口掃描
• UDP 端口掃描（僅適用于 Linux系統(tǒng)）
• Vulners
  
  

三、定期掃描

注意：定期掃描需要 ntopng Enterprise L 或更高版本。

掃描可以按需執(zhí)行（一次）或定期執(zhí)行。您可以選擇指定每日掃描（每天午夜執(zhí)行）或每周掃描（每周日午夜執(zhí)行）。為了避免惡意掃描占用網(wǎng)絡(luò)，每次只執(zhí)行一次掃描。

如果啟用了 “通知類型 ”設(shè)置為 “漏洞掃描報告 ”的通知端點和相關(guān)收件人，則會在定期漏洞掃描結(jié)束時發(fā)送通知。

單擊特定行的 “操作 ”下拉菜單可提供以下選項：

• 編輯主機（修改所選行的規(guī)格）；
• 安排掃描（安排特定主機的漏洞掃描）；
• 下載上次掃描報告（下載包含最新漏洞掃描結(jié)果的文件）；
• 顯示上次掃描報告（在 ntopng 的新頁面中顯示上次掃描結(jié)果）；
• 刪除（從漏洞掃描列表中刪除特定主機）；
  

四、設(shè)置

另外在設(shè)置首選項頁面的 “漏洞掃描 ”選項卡下，可以

• 修改同時執(zhí)行掃描的最大次數(shù)。默認值為 4，最小為 1，最大為 16。
• 啟用慢速掃描模式，以降低漏洞掃描的強度。

五、漏洞掃描最后報告頁

單擊特定行的 “操作 ”下拉菜單中的 “顯示上次掃描報告 ”按鈕，可讓 ntopng 顯示所選主機的上次掃描報告。

六、警報

如果定期執(zhí)行掃描，ntopng 會對每次掃描迭代進行比較，并在出現(xiàn)新端口開放或 CVE 數(shù)量發(fā)生變化等情況時生成警報。警報需要在行為檢查頁面啟用，如下所示

生成的警報可從 “活動監(jiān)控 ”菜單下的 “警報資源管理器 ”頁面訪問。

七、生成的圖表

在漏洞掃描圖表頁面上，ntopng 顯示了充滿漏洞掃描數(shù)據(jù)的時間序列圖表。

Ntopng目前記錄以下漏洞數(shù)據(jù)：

• CVE（檢測到的 CVE 數(shù)量）；
• 主機（準備掃描的主機數(shù)量）；
• 開放端口（發(fā)現(xiàn)的開放端口數(shù)量）；
• Scanned Hosts（掃描的主機數(shù)量）；

八、開放端口

注意：此功能需要 ntopng Enterprise L 或更高版本。

在“開放端口”頁面上，可以顯示漏洞掃描檢測到的 TCP 和 UDP 開放端口列表，以及以下信息：

• 服務名稱;
• CVE 計數(shù)（在具有特定開放端口的主機上檢測到的 CVE 總數(shù)）；
• 主機計數(shù)；
• 主機（如果可用主機超過 5 個，則列表僅限于 5 個）；

通過單擊特定行的操作下拉菜單中的顯示主機按鈕，ntopng 允許用戶導航回漏洞掃描頁面并查看具有所選開放端口的主機。

九、掃描報告

注意：此功能需要 ntopng Enterprise L 或更高版本。

如果禁用 ClickHouse，ntopng 將顯示“報告”頁面，顯示上次掃描執(zhí)行的信息，而不是“掃描報告”頁面。啟用ClickHouse后，在Reports頁面上，會列出ntopng自動生成的所有報告。

通過單擊單個報告的操作菜單，可以編輯報告名稱或刪除報告。

單擊某一行的日期可以讓用戶跳轉(zhuǎn)以顯示所選報告的詳細信息。

生成報告：

• 定期掃描結(jié)束時；
• 單擊“安排所有掃描”按鈕啟動所有掃描執(zhí)行后；
• 單個掃描結(jié)束時；

漏洞掃描報告由四個不同的報告組成：漏洞掃描報告、CVE 計數(shù)、TCP 端口和 UDP 端口。

十、漏洞掃描報告

漏洞掃描報告顯示以下信息：

• IP地址;
• 名稱（主機名）；
• 分數(shù)（檢測到的最大漏洞分數(shù)）；
• 掃描類型;
• TCP/UDP 端口（開放的 TCP/UDP 端口列表）；
• CVE（檢測到的 CVE 數(shù)量）；
• CVE 列表（帶有 CVE 分數(shù)的 CVE 列表）；
• 上次掃描（最近一次掃描執(zhí)行的日期）；

通過單擊 IP 地址，可以跳轉(zhuǎn)到特定于該主機的“漏洞掃描最后報告頁面”。

十一、CVE 計數(shù)報告

CVEs 計數(shù)報告顯示以下信息：

• CVEs；
• 端口（格式為 <端口 ID/L4協(xié)議（服務名稱）>）；
• 主機計數(shù)；
• 主機；

十二、TCP 端口報告

TCP 端口報告顯示以下信息：

• 端口（格式為 <端口 ID/TCP（服務名稱）>）；
• 主機數(shù)量；
• 主機；

十三、UDP端口報告

UDP 端口報告顯示以下信息：

• 端口（格式為 <端口 ID/udp（服務名稱）>)
• 主機數(shù)量；
• 主機；

通過使用ntopng掃描主機漏洞并生成報告，網(wǎng)絡(luò)管理員和安全專家能夠更好地了解其網(wǎng)絡(luò)環(huán)境中的潛在安全風險。ntopng不僅提供了詳細的漏洞掃描結(jié)果，還生成了易于理解的報告，幫助用戶迅速識別和修復安全漏洞。這一功能不僅提升了網(wǎng)絡(luò)的整體安全性，還大大簡化了安全管理的工作流程。
在當前網(wǎng)絡(luò)安全威脅日益增多的背景下，掌握ntopng的這一強大功能對于保護組織的網(wǎng)絡(luò)資產(chǎn)至關(guān)重要。希望本篇文章能夠幫助你充分利用ntopng的漏洞掃描功能，提升你的網(wǎng)絡(luò)安全防護水平。

審核編輯 黃宇