如何保護(hù)網(wǎng)絡(luò)免遭慢掃描攻擊

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

當(dāng)前，業(yè)界內(nèi)有很多用于掃描大面積端口和IP地址的安全工具。其中，入侵檢測(cè)系統(tǒng)（IDS）通常能實(shí)現(xiàn)大面積掃描。IDS可以通過(guò)阻止源IP地址或改變其日志屬性關(guān)閉通過(guò)廣泛快速掃描已開(kāi)端口的工具。

然而，大部分的攻擊者不會(huì)通過(guò)運(yùn)行這種類(lèi)型的掃描程序來(lái)暴露他們的目的。相反地，它們會(huì)運(yùn)行一種低調(diào)慢速半連接的攻擊程序制訂所能獲取的資源。

由于低調(diào)慢速的方法很消耗時(shí)間，所以它并不難執(zhí)行，但很難防護(hù)。這就是你所需要熟悉攻擊者使用的工具并理解這些行為的原因。

學(xué)會(huì)這類(lèi)工具

在網(wǎng)上可以獲得幾種免費(fèi)端口掃描工具，其中以下四種最為流行：

Nmap (http://insecure.org/):用于網(wǎng)絡(luò)探測(cè)和安全審核用戶(hù)獲取IP包來(lái)檢測(cè)網(wǎng)絡(luò)上主機(jī)種類(lèi)，主機(jī)提供服務(wù)（應(yīng)用程序名稱(chēng)及版本）類(lèi)型，它們運(yùn)行操作系統(tǒng)（操作系統(tǒng)版本），它們使用過(guò)濾系統(tǒng)及防火墻類(lèi)型，以及其他的特征。

Angry IP Scanner (http://www.angryziber.com/ipscan/):用于掃描任意范圍內(nèi)的IP地址及端口。它使用ping命令檢測(cè)IP地址是否活躍在網(wǎng)上，然后解析主機(jī)、檢測(cè)其MAC地址，掃描其打開(kāi)的端口。

Unicornscan: (http://www.unicornscan.org/)：用于基于UNIX系統(tǒng)，該網(wǎng)絡(luò)掃描工具根據(jù)需要通過(guò)UDP掃描精確地收集數(shù)據(jù)以預(yù)測(cè)打開(kāi)的端口。

Netcat: (http://sectools.org/netcats.html)：也稱(chēng)“網(wǎng)絡(luò)瑞士軍刀”。其為一種網(wǎng)絡(luò)調(diào)試探測(cè)工具，能創(chuàng)建所需要的任何類(lèi)型的連接，包括端口綁定用于接受外來(lái)連接，該工具包括6種不同版本。

以下列出攻擊者輕松獲取網(wǎng)上資源的范例?，F(xiàn)在讓我們來(lái)看看攻擊者是如何使用Netcat工具來(lái)躲避IDS標(biāo)記的過(guò)程。

理解低調(diào)慢速掃描

以下為Netcat的語(yǔ)法：

nc [-options] hostname port[s] [ports]

Netcat提供了如下命令行，用戶(hù)可以使用它輕松地探測(cè)網(wǎng)絡(luò)：

-i (端口掃描延時(shí)秒數(shù))

-r (隨機(jī)掃描端口)

-v (顯示連接細(xì)節(jié))

-z (發(fā)送最小數(shù)據(jù)包以獲取來(lái)自打開(kāi)窗口地響應(yīng))

以下是使用Netcat掃描指定Web服務(wù)的一個(gè)例子：

nc -v -z -r -i 31 123.321.123.321 20-443

以上這條語(yǔ)句演示Netcat以如下方式運(yùn)行：

1.掃描IP地址：123.321.123.321。

2.掃描TCP端口20－443。

3.隨機(jī)進(jìn)行端口掃描。

4.不響應(yīng)打開(kāi)窗口。

5.每隔31秒執(zhí)行一次。

6.將信息寫(xiě)入控制臺(tái)日志中。

雖然IDS能記錄各種攻擊行為，但你覺(jué)得它能標(biāo)記這類(lèi)掃描行為嗎？大概不行——因?yàn)樗鼈兪请S機(jī)的、半攻擊的，并且在兩個(gè)探測(cè)之間有一個(gè)明顯的延時(shí)。那如何來(lái)防衛(wèi)這類(lèi)掃描呢？

保護(hù)你的網(wǎng)絡(luò)

不幸的是，你只有兩種選擇來(lái)防衛(wèi)這種低調(diào)慢速的攻擊：購(gòu)買(mǎi)昂貴的相關(guān)工具，或者很費(fèi)勁地檢查日志。如果你的預(yù)算不允許購(gòu)買(mǎi)新的工具，可以采用以下技巧詳細(xì)審查日志：

查看持續(xù)的但非入侵的掃描日志。

特別注意UDP攻擊之后進(jìn)行的TCP掃描。

如果看到很長(zhǎng)時(shí)間不斷地制訂你的網(wǎng)絡(luò)端口的攻擊行為，請(qǐng)追蹤核實(shí)其來(lái)源，并將其阻止。 

最終方法

那些狡猾的攻擊者總是試圖在你的檢測(cè)下入侵到你的系統(tǒng)。此時(shí)，請(qǐng)不要完全依賴(lài)于檢測(cè)系統(tǒng)的自動(dòng)報(bào)警。仔細(xì)閱讀日志文件，并親自總結(jié)你的網(wǎng)絡(luò)目前面臨的處境。

充分使用自動(dòng)檢測(cè)系統(tǒng)查找攻擊者的入侵痕跡，尤其注意那些低調(diào)慢速攻擊，并努力停止它們的入侵步伐。

Mike Mullins 曾擔(dān)任過(guò)美國(guó)隱私服務(wù)中心和信息防衛(wèi)系統(tǒng)代理中心的網(wǎng)絡(luò)管理員助理及網(wǎng)絡(luò)安全管理員工作。他目前是南方戲劇網(wǎng)絡(luò)操作及安全中心的主任。(zdnet)