文章总结： 本文回顾1995年SATAN漏洞扫描器发布的历史，该工具由DanFarmer和WietseVenema开发，是全球首款自动化攻击级扫描器。它引入Web界面与信任关系分析，打破隐匿即安全的旧观念，引发舆论风暴并催生IDS技术。SATAN确立了红队工具民用化及渗透测试的伦理标准，倒逼厂商重视补丁管理，是现代安全建设与可视化的里程碑事件。 综合评分： 83 文章分类： 安全工具,漏洞分析,渗透测试,网络安全,安全建设

【第五空间简史】第16节 1995：当我们将“撒旦”放出笼子

原创

千里

东方隐侠安全团队

2025年12月31日 13:04 江苏

有些日子的清晨，注定和往常不一样。

1995年4月5日，可能只是维基百科上一行冰冷的日期。然而当你了解后，你可能会觉得那天空气里弥漫的一种奇怪的味道，怎么形容呢？一种混合了肾上腺素、恐惧和某种叛逆快感的特殊味道。

就在那天，两个甚至连疯子都算不上的极客，干了一件在当时被主流社会视为类似于给恐怖分子递核按钮的事。他们公开发布了一款名为SATAN（Security Administrator Tool for Analyzing Networks，网络分析安全管理工具）的软件。

这也是人类历史上，第一次有人敢把全自动化的攻击级漏洞扫描器，免费扔到了互联网上，供所有人下载。

今天，咱们就以此为话题，把时光轴拨回那个modem还在发出“猫叫”的年代，聊聊这场甚至惊动了FBI、让《时代周刊》封面都为之颤抖的技术风暴。

暴风雨前的宁静：当黑客戴上白手套

01

我们得先看看到底这把“火”是谁点的。

这事儿的主角有两位：Dan Farmer和WietseVenema。

在1995年之前，网络安全圈子（那时候甚至还没这个词，大家都叫“系统管理”）有个不成文的规矩：Security by Obscurity（通过隐匿来实现安全）。

那个年代的管理员们普遍认为，只要我不说我有漏洞，黑客就不知道。就像鸵鸟把头埋进沙子里，觉得屁股露在外面也是安全的。

Dan Farmer当时是硅谷巨头SGI（Silicon Graphics Inc.）的明星员工。大家可能对SGI有点陌生，但在90年代，如果你想做《侏罗纪公园》里的恐龙特效，或者搞高端科研模拟，你必须买SGI的工作站。那就是计算机界的劳斯莱斯。而Wietse Venema则是荷兰埃因霍温理工大学的大牛，著名的TCP Wrapper就是他写的。

下图左上方是Wietse Venema，右下方是Dan Farmer。

这哥俩有个共同的痛点，工作中体会到无比的心累。

当时的Unix系统（SunOS, Solaris, Irix）非常的不安全，比如NFS（网络文件系统）配置稍微不注意，就把整个硬盘共享出去了；而Finger服务像个大嘴巴，谁问都把用户列表吐出来；Sendmail更是漏洞之王，三天两头出幺蛾子。管理员想检查自己管辖的几百台机器安不安全，得一台一台手动敲命令。

“这太蠢了，”丹因为忙于工作，只能喝着凉透的咖啡，“既然黑客都在写脚本自动扫我们，为什么我们不能写个更牛的脚本，先扫自己？”

于是，SATAN诞生了。

（在本文的介绍基础上，大家也可以看下两位大牛的连线回顾，https://www.scworld.com/podcast-segment/4674-wietse-venema-dan-farmer-satan）

那个名为“撒旦”的压缩包

02

让那个时代的人感到匪夷所思的是，他俩不只是写了工具来解决自己工作痛点，竟然还要开源出来。

时间来到，1995年4月5日下午。

在此之前，关于SATAN的流言已经在Usenet新闻组和邮件列表里传了好几个月。主流媒体像闻到了血腥味的鲨鱼，《PC Magazine》、《洛杉矶时报》甚至《新闻周刊》都开始疯狂造势。

有人说它是电子武器，有人说它是终结互联网的病毒。《洛杉矶时报》甚至引用了一句著名的恐慌言论：

“SATAN is like a gun, and this is like handing a gun to a 12-year-old.” （SATAN就像一把枪，而发布它就像把枪递给一个12岁的孩子。）

顶着这种巨大的社会压力，Dan Farmer和Wietse Venema还是按下了回车键。

这个只有约767k（未解压）的压缩包，顺着当时只有14.4kbps或28.8kbps的电话线，流向了全球数千个Unix终端。

当人们解压这个压缩包，获取工具后，才发现它不仅是个扫描器，它还是一个引入了Web界面的黑客工具。

在那个大家还在黑乎乎的终端里敲telnet和ftp的年代，SATAN居然是用HTML写报告的！你可以用当时最潮的浏览器——Netscape（网景）或者Mosaic来查看扫描结果。

技术拆解：SATAN到底干了啥？

我们一起扒一下SATAN当时的内部构造，因为它定义了后来所有扫描器（包括现在的Nessus、OpenVAS）的雏形。

它主要由Perl脚本和Shell脚本写成，工作流程非常优雅：

• 踩点：先利用 fingers 、 nslookup 、 rpcinfo 等标准工具，像查户口一样把目标网络批量探测一遍。谁在线？谁是服务器？谁是工作站？

• 弱点探测：

• NFS Export: 检查你是不是傻乎乎地把 / 目录 export 给全世界了。

• NIS (Network Information Service): 看看能不能把密码文件搞下来。

• Rexd: 一个非常有名的远程执行守护进程，要是开着这玩意儿，基本等于在脑门上写着“欢迎光临”。

• Sendmail: 检查版本号，看看是不是那个著名的 debug 模式漏洞还在。

• FTP : 检查著名的 wu-ftpd 漏洞，或者是不是允许匿名上传。

• X Windows: 看看你的图形界面是不是没做访问控制，黑客能不能直接截屏你的屏幕。

• 信任关系分析： 这是 SATAN 最牛的功能，直接分析 .rhosts 和 /etc/hosts.equiv 文件。也许机器A固若金汤，但它信任机器B（允许无密码 rlogin）。SATAN 发现机器B有个低级漏洞。于是，它会智能地在报告里画出一张图，告诉你：“嘿，黑客只要攻破了这个不起眼的打印机服务器B，就能通过信任关系，直接跳板进入你的核心数据库A。”这种基于图论的攻击路径分析 ，在当时简直是一个新次元的理念。

而且，它居然还贴心地附带了教程！当你点击报告里的漏洞链接时，它会弹出一个页面，解释这个漏洞是什么，甚至教你怎么修。Dan Farmer和Wietse Venema还请了著名漫画家、后来写出《睡魔》的大神尼尔·盖曼（Neil Gaiman）绘制了文档插图。

你看，这哪是武器，这分明是一件带着摇滚精神的艺术品。

舆论风暴与“被祭旗”的作者

03

SATAN发布的第二天，芝加哥的DomiNET和Clear Lake的Phoenix Data Systems（两家早期的ISP）就发现，他们的日志里充满了 ATAN特有的探测数据包。

恐慌变成了现实，这下管理员们集体炸锅了。

美国司法部（DOJ）甚至一度威胁要对分发该工具的人进行调查。而处于风暴中心的Dan Farmer，付出了惨痛的代价。

在他的老东家SGI眼里，虽然丹是为了提升安全性发布了SATAN，但这事儿公关风险太大了。想象一下，如果有黑客用SGI员工写的工具黑了五角大楼，SGI的股价得跌成什么样？

于是，在SATAN发布后，Dan Farmer不得不离开了SGI。官方说法比较含蓄，但圈内人都懂，这是被“优化”了，或者说是在巨大压力下的“自愿辞职”。这大概是网络安全史上最早的白帽子困境：你指出了皇帝没穿衣服，皇帝不仅不谢你，还觉得你让他丢了人。

媒体继续煽风点火。《PC Magazine》在4月7日的文章《撒旦降临》（The Arrival of Satan）里写道：

“Using Satan, figuring out how to break into a multitude of Internet sites is literally as easy pulling up a dialog box in the program… essentially how hard an attack you want to mount against the site.” （用 SATAN 入侵互联网站点简直就像拉个对话框那么简单……你甚至可以选攻击力度：轻度还是重度。）

这话说得虽然夸张，但也确实戳中了痛点：SATAN大幅降低了黑客的准入门槛。以前你需要懂TCP/IP协议栈才能搞攻击，现在你只要会用鼠标点“Start Scan”。

面对这种指责，Dan Farmer和Wietse Venema在软件里埋了一个充满黑色幽默的彩蛋。

如果你觉得SATAN这个名字太邪恶、太冒犯你的宗教信仰，你可以在命令行里输入：make repent（忏悔）

然后，脚本会自动把程序里的所有SATAN字符串替换成SANTA（圣诞老人）。

看，这就是极客的浪漫：世界以痛吻我，我报之以圣诞老人。

盾与矛的博弈：Courtney 与 Gabriel

04

有矛就有盾。SATAN 的发布直接催生了另一个细分领域的爆发： 入侵检测系统 （ IDS ） 。

就在SATAN发布的几周内，反制工具就上线了。

CIAC（美国能源部的计算机事故咨询中心）发布了一个叫Courtney的工具。这名字听起来像个温柔的邻家女孩，实际上她是基于tcpdump的流量分析脚本。

Courtney的逻辑很简单：SATAN的扫描行为太特征化了。它会在短时间内对一系列特定端口发起连接。Courtney只要并在网关上监听，一旦发现这种“指纹”，就会立刻报警：“老板，有人在用SATAN扫咱们！”

紧接着，Los Altos Technologies搞了个叫Gabriel（加百列，天使长）的工具。你看这名字起的，专门就是为了克制SATAN（撒旦）。Gabriel更进一步，它不仅检测扫描，还能伪造响应来迷惑扫描器。

这场攻防演练，让管理员们意识到，被动防御是死路一条，你必须在黑客动手之前先动手。

后来的马里兰大学巴尔的摩分校（UMBC）安全负责人Paul Danckaert曾评价道：

“…I ran it twice… I don’t see people use it in the ‘real world’… Its only possible use is as a Check-up type of tool…” （我跑了两次……我不觉得真黑客会用它。它就是个给管理员用的体检工具。）

事实也证明，由于SATAN使用的漏洞都是已知且有补丁的（CERT早就发过公告），真正因为SATAN导致的大规模入侵其实并不多。它更多的是吓出了一身冷汗，而不是造成了致命伤。

为什么 SATAN 值得被铭记？

05

如果你现在去下载SATAN的源码（是的，现在还能找到），你会发现它在现代Linux上甚至跑不起来了。它依赖的那些旧版 Perl 库和 RPC 服务早就进了博物馆。

但在2006年SecTools.Org的投票中，SATAN依然被提及，尽管它早已被Nmap、Nessus所取代。

为什么要花这么多笔墨写它？

因为SATAN是一个分水岭。

首先，它终结了“隐匿即安全”的时代。SATAN逼迫所有管理员必须正视漏洞。你不能再假装漏洞不存在，因为现在连那个刚学会上网的邻居小孩手里都有检测工具了。它迫使厂商（Sun, HP, IBM）不得不加快补丁发布的流程。它倒逼了补丁管理流程的建立。

在这，它确立了“红队工具民用化”的伦理标准。Dan Farmer在文档里写的一句话，直到今天也是白帽子们的座右铭：”Improving the security of your site by breaking into it.” （通过入侵你的站点来提升它的安全性。）这在当时是离经叛道的，在今天却是合规标配（渗透测试、红蓝对抗）。

另外，它展示了可视化的力量。在SATAN之前，安全工具是冰冷的命令行。SATAN告诉我们，安全数据可以被可视化，可以变成图表，可以被非硬核技术的管理层读懂。这直接影响了后来像Tenable,Qualys这些市值百亿的安全公司的产品设计逻辑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：东方隐侠安全团队 千里《【第五空间简史】第16节 1995：当我们将“撒旦”放出笼子》