想要保護網絡安全？了解漏洞掃描的重要性是關鍵一步。本期我們將介紹使用ntopng漏洞掃描的實施方法，幫助您建立更加安全的網絡環境。

ntopng簡介：

ntopng 是用于監控計算機網絡流量的計算機軟件，具有非常豐富的可視化圖表。它能從流量鏡像、NetFlow 導出器、SNMP 設備、防火墻日志和入侵檢測系統中收集流量信息，從而提供 360° 的網絡可視性。ntopng依靠 Redis 鍵值服務器而非傳統數據庫，利用 nDPI 進行協議檢測，支持主機地理定位，并能顯示連接主機的實時流量分析。

ntopng 既能被動監控網絡，也能執行漏洞掃描，其目標是檢測已知的 [CVE]（常見漏洞和暴露），并發現所提供服務中的 TCP 或 UDP 開放端口。

當前的實現利用了 [nmap] 和 [vulscan]。只需定義[新模塊]，代碼就能添加新的掃描器類型。

一、漏洞掃描頁面

在 “漏洞掃描 ”頁面，可以查看可掃描的注冊主機，以及上次執行掃描的各種詳細信息，例如

• 掃描狀態（可以是 “正在掃描”、“已計劃”、“成功”、“未掃描”、“錯誤”）；
• 得分；（檢測到的漏洞的最大得分）
• 掃描類型；
• CVEs 計數（檢測到的漏洞）；
• TCP 端口（發現的開放 TCP 端口數量）；
• UDP 端口（發現的開放 UDP 端口數量）；
• 最后持續時間；
• 上次掃描；
• 周期

在 ntopng 執行 TCP 或 UDP 端口掃描后，ntopng 會將網絡監控檢測到的開放端口與漏洞掃描中發現的開放端口進行比較：

如果 Vulnerability Scan（漏洞掃描）發現了一個開放的 TCP（或 UDP）端口，而根據網絡監控的結果，該端口當前并沒有被使用，那么在特定主機的開放 TCP（或 UDP）端口數附近就會顯示一個 ghost 圖標。

如果 “漏洞掃描 ”未能識別實際正在使用的 TCP（或 UDP）端口，但 ntopng 已通過網絡監控檢測到該端口（該端口已被 “漏洞掃描 ”過濾），則會在特定主機的開放 TCP（或 UDP）端口數量附近顯示一個過濾器圖標 filter。

頁面底部有三個按鈕：

• 全部刪除（從漏洞掃描列表中刪除所有主機）；
• Schedule All Scans（安排對漏洞掃描列表中的所有主機進行掃描）；
• 批量編輯（更新漏洞掃描列表中所有主機的周期掃描）；

在執行 “全部掃描 ”結束時，如果通知端點和相關收件人的 “通知類型 ”設置為 “漏洞掃描報告”，則會在周期性漏洞掃描結束時發送通知。

二、將主機添加到漏洞掃描列表

單擊 “漏洞掃描 ”頁面上的 “+”圖標，用戶可以添加新主機或包含特定 CIDR 下的所有活動主機。

如果用戶指定了特定的活動主機，ntopng 將自動在端口字段中填入該主機的已知服務器端口。如果未知，則該字段將為空，所有端口都將被檢查。請注意，掃描所有端口可能需要很長時間，因此我們建議（如果可能的話）將掃描限制在一小部分端口集上。

選擇主機和端口后，必須選擇一種漏洞掃描類型。目前支持五種類型的漏洞掃描：

• CVE
• IPv4 網絡掃描
• TCP 端口掃描
• UDP 端口掃描（僅適用于 Linux系統）
• Vulners
  
  

三、定期掃描

注意：定期掃描需要 ntopng Enterprise L 或更高版本。

掃描可以按需執行（一次）或定期執行。您可以選擇指定每日掃描（每天午夜執行）或每周掃描（每周日午夜執行）。為了避免惡意掃描占用網絡，每次只執行一次掃描。

如果啟用了 “通知類型 ”設置為 “漏洞掃描報告 ”的通知端點和相關收件人，則會在定期漏洞掃描結束時發送通知。

單擊特定行的 “操作 ”下拉菜單可提供以下選項：

• 編輯主機（修改所選行的規格）；
• 安排掃描（安排特定主機的漏洞掃描）；
• 下載上次掃描報告（下載包含最新漏洞掃描結果的文件）；
• 顯示上次掃描報告（在 ntopng 的新頁面中顯示上次掃描結果）；
• 刪除（從漏洞掃描列表中刪除特定主機）；
  

四、設置

另外在設置首選項頁面的 “漏洞掃描 ”選項卡下，可以

• 修改同時執行掃描的最大次數。默認值為 4，最小為 1，最大為 16。
• 啟用慢速掃描模式，以降低漏洞掃描的強度。

五、漏洞掃描最后報告頁

單擊特定行的 “操作 ”下拉菜單中的 “顯示上次掃描報告 ”按鈕，可讓 ntopng 顯示所選主機的上次掃描報告。

六、警報

如果定期執行掃描，ntopng 會對每次掃描迭代進行比較，并在出現新端口開放或 CVE 數量發生變化等情況時生成警報。警報需要在行為檢查頁面啟用，如下所示

生成的警報可從 “活動監控 ”菜單下的 “警報資源管理器 ”頁面訪問。

七、生成的圖表

在漏洞掃描圖表頁面上，ntopng 顯示了充滿漏洞掃描數據的時間序列圖表。

Ntopng目前記錄以下漏洞數據：

• CVE（檢測到的 CVE 數量）；
• 主機（準備掃描的主機數量）；
• 開放端口（發現的開放端口數量）；
• Scanned Hosts（掃描的主機數量）；

八、開放端口

注意：此功能需要 ntopng Enterprise L 或更高版本。

在“開放端口”頁面上，可以顯示漏洞掃描檢測到的 TCP 和 UDP 開放端口列表，以及以下信息：

• 服務名稱;
• CVE 計數（在具有特定開放端口的主機上檢測到的 CVE 總數）；
• 主機計數；
• 主機（如果可用主機超過 5 個，則列表僅限于 5 個）；

通過單擊特定行的操作下拉菜單中的顯示主機按鈕，ntopng 允許用戶導航回漏洞掃描頁面并查看具有所選開放端口的主機。

九、掃描報告

注意：此功能需要 ntopng Enterprise L 或更高版本。

如果禁用 ClickHouse，ntopng 將顯示“報告”頁面，顯示上次掃描執行的信息，而不是“掃描報告”頁面。啟用ClickHouse后，在Reports頁面上，會列出ntopng自動生成的所有報告。

通過單擊單個報告的操作菜單，可以編輯報告名稱或刪除報告。

單擊某一行的日期可以讓用戶跳轉以顯示所選報告的詳細信息。

生成報告：

• 定期掃描結束時；
• 單擊“安排所有掃描”按鈕啟動所有掃描執行后；
• 單個掃描結束時；

漏洞掃描報告由四個不同的報告組成：漏洞掃描報告、CVE 計數、TCP 端口和 UDP 端口。

十、漏洞掃描報告

漏洞掃描報告顯示以下信息：

• IP地址;
• 名稱（主機名）；
• 分數（檢測到的最大漏洞分數）；
• 掃描類型;
• TCP/UDP 端口（開放的 TCP/UDP 端口列表）；
• CVE（檢測到的 CVE 數量）；
• CVE 列表（帶有 CVE 分數的 CVE 列表）；
• 上次掃描（最近一次掃描執行的日期）；

通過單擊 IP 地址，可以跳轉到特定于該主機的“漏洞掃描最后報告頁面”。

十一、CVE 計數報告

CVEs 計數報告顯示以下信息：

• CVEs；
• 端口（格式為 <端口 ID/L4協議（服務名稱）>）；
• 主機計數；
• 主機；

十二、TCP 端口報告

TCP 端口報告顯示以下信息：

• 端口（格式為 <端口 ID/TCP（服務名稱）>）；
• 主機數量；
• 主機；

十三、UDP端口報告

UDP 端口報告顯示以下信息：

• 端口（格式為 <端口 ID/udp（服務名稱）>)
• 主機數量；
• 主機；

通過使用ntopng掃描主機漏洞并生成報告，網絡管理員和安全專家能夠更好地了解其網絡環境中的潛在安全風險。ntopng不僅提供了詳細的漏洞掃描結果，還生成了易于理解的報告，幫助用戶迅速識別和修復安全漏洞。這一功能不僅提升了網絡的整體安全性，還大大簡化了安全管理的工作流程。
在當前網絡安全威脅日益增多的背景下，掌握ntopng的這一強大功能對于保護組織的網絡資產至關重要。希望本篇文章能夠幫助你充分利用ntopng的漏洞掃描功能，提升你的網絡安全防護水平。

審核編輯 黃宇