在安全领域中，扫描器发挥着十分重要的作用。不同的扫描器可以提供不同的功能，如信息扫描、漏洞扫描器等。由于本节中所介绍的扫描器是以漏洞扫描功能为主的扫描器，因此本节中谈到的“扫描器”一词均指漏洞扫描器。关于扫描器，在后续章节将会有更将详细的介绍。

扫描器对不同的使用者来说，其意义不同。对于系统管理员来说，扫描器是维护系统安全的得力助手；对于黑客而言，扫描器是最基本的攻击工具，有一句话可以充分说明扫描器对黑客的重要性，“一个好的扫描器相当于数百个合法用户的账户信息”。

本节是从扫描器相关的基本理论入手介绍扫描器的，至于具体的扫描器工具在后续章节中会有详细介绍。了解本节中的内容有助于更好地理解与使用扫描器。

1．概念

黑客技术中的扫描主要是指通过固定格式的询问来试探主机的某些特征的过程，而提供了扫描功能的软件工具就是扫描器。早期的扫描器大多是专用的，即一种扫描器只能扫描一种特定的信息。随着网络的发展，各种系统漏洞被越来越多的发现，扫描器的种类也随之增多，为了简化扫描过程，人们把众多的扫描器集成为一个扫描器。目前，正在使用的扫描器中，绝大多数都是这种集成扫描器（综合扫描器）。

扫描器可以检测远程主机和本地系统的安全性，对远程主机和本地系统进行扫描是有区别的。对远程主机进行扫描属于外部扫描，即扫描远程主机的一些外部特性，这些外部特性是由远程主机开放的服务决定的。对本地系统进行扫描属于内部扫描，通常是以系统管理员权限进行的扫描。一般来说，黑客攻击的第一步就是对远程主机进行各种扫描。

2．扫描器的工作原理

扫描器进行外部扫描时，针对远程主机开放的端口与服务进行探测，获取并记录相关的应答信息，对应答信息进行筛选和分析后，再与扫描器自带的漏洞信息库中的信息进行比较，如果一致，则确定远程系统存在相应的漏洞。

扫描器进行内部扫描时，扫描器会以系统管理员的权限在本地机上运行，记录系统配置中的各项主要参数，分析配置上存在的漏洞。

以上可以发现内外部扫描之间的另一个差别：外部扫描时，扫描器所收集的信息与自带漏洞信息库中的信息一致时即确定为存在相应的漏洞；而内部扫描则正好相反，不一致时确定存在相应的系统漏洞。

3．防御扫描的安全策略

单从危害来看，黑客进行对远程主机进行内部扫描的危害更大，这时说明黑客已经侵入了系统。此时，查找出黑客打开的后门并加以封锁是亡羊补牢成功与否的关键。

此外，对于外部扫描无法主动防范，因为外部扫描可能存在于网络的任何一个位置上。关闭不必要的服务与端口、及时安装各种补丁程序可以从一定程度上减少外部扫描带来的安全隐患。

需要注意的是某个系统是安全的并不代表这个系统可以抵御任何攻击行为，即不存在攻不破的堡垒。在网络安全中，某个系统只要让入侵者入侵系统时所付出的代价大于他所获得的利益，就可以认为这个系统是安全的。

4．扫描器的使用策略

及时更新扫描器的版本是最基本的使用策略，一般的发布顺序是系统漏洞首先被披露，然后是相关的补丁程序，最后才是扫描器。尽管如此，用户打补丁并不一定及时，因此下载扫描器的高版本是十分重要的。

多种扫描器的搭配使用，由于扫描器设计与编写目的的不同，各自的功能和性能往往会有一定的差别。以“抓肉鸡”（肉鸡指被控制了的远程主机）为例，可以先使用一些扫描速度快但功能少的扫描器扫描多个网段中远程主机，随后使用一些扫描速度慢但功能强的扫描器重点扫描其中的一部分主机，最后确定对哪些远程主机进行入侵。

5．补充

扫描器归根结底是扫描方法的集合，扫描器的出现极大地方便了用户，但扫描器并不是万能的。对于系统管理员而言，对具体的扫描方法也要有一定的了解与掌握，例如某个漏洞刚被发现时，它对应的扫描器往往不会同期被发布，漏洞的存在对系统构成了潜在的威胁，这种情况下，可以通过端口检测等一些扫描方法加以检查。