如何保護網(wǎng)絡免遭慢掃描攻擊

申請免費試用、咨詢電話：400-8352-114

當前，業(yè)界內有很多用于掃描大面積端口和IP地址的安全工具。其中，入侵檢測系統(tǒng)（IDS）通常能實現(xiàn)大面積掃描。IDS可以通過阻止源IP地址或改變其日志屬性關閉通過廣泛快速掃描已開端口的工具。

然而，大部分的攻擊者不會通過運行這種類型的掃描程序來暴露他們的目的。相反地，它們會運行一種低調慢速半連接的攻擊程序制訂所能獲取的資源。

由于低調慢速的方法很消耗時間，所以它并不難執(zhí)行，但很難防護。這就是你所需要熟悉攻擊者使用的工具并理解這些行為的原因。

學會這類工具

在網(wǎng)上可以獲得幾種免費端口掃描工具，其中以下四種最為流行：

Nmap (http://insecure.org/):用于網(wǎng)絡探測和安全審核用戶獲取IP包來檢測網(wǎng)絡上主機種類，主機提供服務（應用程序名稱及版本）類型，它們運行操作系統(tǒng)（操作系統(tǒng)版本），它們使用過濾系統(tǒng)及防火墻類型，以及其他的特征。

Angry IP Scanner (http://www.angryziber.com/ipscan/):用于掃描任意范圍內的IP地址及端口。它使用ping命令檢測IP地址是否活躍在網(wǎng)上，然后解析主機、檢測其MAC地址，掃描其打開的端口。

Unicornscan: (http://www.unicornscan.org/)：用于基于UNIX系統(tǒng)，該網(wǎng)絡掃描工具根據(jù)需要通過UDP掃描精確地收集數(shù)據(jù)以預測打開的端口。

Netcat: (http://sectools.org/netcats.html)：也稱“網(wǎng)絡瑞士軍刀”。其為一種網(wǎng)絡調試探測工具，能創(chuàng)建所需要的任何類型的連接，包括端口綁定用于接受外來連接，該工具包括6種不同版本。

以下列出攻擊者輕松獲取網(wǎng)上資源的范例。現(xiàn)在讓我們來看看攻擊者是如何使用Netcat工具來躲避IDS標記的過程。

理解低調慢速掃描

以下為Netcat的語法：

nc [-options] hostname port[s] [ports]

Netcat提供了如下命令行，用戶可以使用它輕松地探測網(wǎng)絡：

-i (端口掃描延時秒數(shù))

-r (隨機掃描端口)

-v (顯示連接細節(jié))

-z (發(fā)送最小數(shù)據(jù)包以獲取來自打開窗口地響應)

以下是使用Netcat掃描指定Web服務的一個例子：

nc -v -z -r -i 31 123.321.123.321 20-443

以上這條語句演示Netcat以如下方式運行：

1.掃描IP地址：123.321.123.321。

2.掃描TCP端口20－443。

3.隨機進行端口掃描。

4.不響應打開窗口。

5.每隔31秒執(zhí)行一次。

6.將信息寫入控制臺日志中。

雖然IDS能記錄各種攻擊行為，但你覺得它能標記這類掃描行為嗎？大概不行——因為它們是隨機的、半攻擊的，并且在兩個探測之間有一個明顯的延時。那如何來防衛(wèi)這類掃描呢？

保護你的網(wǎng)絡

不幸的是，你只有兩種選擇來防衛(wèi)這種低調慢速的攻擊：購買昂貴的相關工具，或者很費勁地檢查日志。如果你的預算不允許購買新的工具，可以采用以下技巧詳細審查日志：

查看持續(xù)的但非入侵的掃描日志。

特別注意UDP攻擊之后進行的TCP掃描。

如果看到很長時間不斷地制訂你的網(wǎng)絡端口的攻擊行為，請追蹤核實其來源，并將其阻止。 

最終方法

那些狡猾的攻擊者總是試圖在你的檢測下入侵到你的系統(tǒng)。此時，請不要完全依賴于檢測系統(tǒng)的自動報警。仔細閱讀日志文件，并親自總結你的網(wǎng)絡目前面臨的處境。

充分使用自動檢測系統(tǒng)查找攻擊者的入侵痕跡，尤其注意那些低調慢速攻擊，并努力停止它們的入侵步伐。

Mike Mullins 曾擔任過美國隱私服務中心和信息防衛(wèi)系統(tǒng)代理中心的網(wǎng)絡管理員助理及網(wǎng)絡安全管理員工作。他目前是南方戲劇網(wǎng)絡操作及安全中心的主任。(zdnet)