至顶网›网络频道 ›保护网络免受慢速扫描

保护网络免受慢速扫描

有许多的安全工具可以对大范围的IP地址以及端口进行扫描。对于这种宽幅扫描，一个入侵检测系统（IDS）可以迅速捕捉到。然而，绝大多数狡猾的攻击者们都不会进行这种类型的扫描。

作者：techrepublic.com.com 2007年1月18日

有许多的安全工具可以对大范围的IP地址以及端口进行扫描。对于这种宽幅扫描，一个入侵检测系统（IDS）可以迅速捕捉到。然后，IDS系统可以通过阻挡该扫描的源地址，迅速的切断该扫描，或对相关人员发出警告，警告一个对开放端口的宽幅快速扫描形成了多个登录入口。

然而，绝大多数狡猾的攻击者们都不会进行这种类型的扫描。实际上，他们采取的方法更加低级而缓慢，通过使用单向连接的尝试，来找出你那些可用的资源。

不幸的是，虽然这种“低层慢速”的方法用起来旷日持久，但使用方面却毫不困难——而对防御者来说却是极难防范。这也就是为什么你需要通过熟悉那些攻击者所使用的工具，以及了解这种缓慢扫描用起来多么容易，从而加深对这种行动类型的了解。

了解工具
在网页上有许多免费的端口扫描器。我们来看看其中最流行的四种：

Nmap: 这个用于网络浏览或安全审核的工具，通过异常的方式来使用raw IP数据包，从而确认网络上可用的主机有哪些，这些主机提供哪些服务（具体应用程序名称和版本），是用什么操作系统（以及操作系统的版本号），使用何种数据包过滤器和防火墙，以及大量的其他特征数据。

Angry IP Scanner: 这个工具可以扫描任何范围内的IP地址，以及任何范围内的端口。它通过对每个IP地址执行Ping操作来确定该地址是否有效；然后通过解析主机名，从而确认MAC地址，并对开放的端口进行扫描。

Unicornscan：特别为基于UNIX的系统设计，这个网络扫描器的开发基于正确的从UDP扫描中收集数据的需求，以便确定到底某个端口是实际开放，或是隐藏在防火墙之后。

Netcat：有时候被人们叫做“网络瑞士军刀”。这是一个用于网络跟踪和探查的工具。它可以建立几乎所有你需要的连接类型，包括端口绑定来接受进入的连接。这个工具有6 种变化。

上面这4个，仅仅是一个攻击者可以从网页上免费找到的工具范例（不是所有的扫描器都可以让自己的扫描躲过IDS的探测）。现在，让我们来仔细看看一个攻击者使用Netcat这个工具，如何躲过IDS对网络进行扫描。

了解“低层慢速”扫描,这里是Netcat的命令语法:

nc [-options] hostname port[s] [ports]

Netcat提供了下述命令行开关，你可以用这些来悄悄的对一个网络进行探查：

-i (每次扫描之间的时间间隔)

-r (对端口检测实施随机选择)

-v (显示连接的详细情况)

-z (发送一定量的数据以获取某个开放端口的响应)

下面是一个使用该工具扫描特定网页服务器的范例：

nc -v -z -r -i 31 123.321.123.321 20-443

这个命令告诉Netcat执行下述操作：

扫描IP地址 123.321.123.321.

扫描TCP端口，从20到443.

对端口扫描执行乱序扫描

对开放的端口不进行回应

对每一次探查进行31秒的延迟

对相关信息，记录到控制台

尽管IDS会对这些活动进行记录，但是你认为它会对这种类型的活动做出反应么？很可能不会——这些活动是杂乱无序的，单向连接的，而且每一次探查之间都有一个特定的延迟。那么，你该怎么防护这种类型的扫描呢？

保护你的网络
不幸的是，你只有两个方法来对付这种低级慢速扫描的攻击：购买昂贵的相关性工具，或人工阅读记录文件。如果你的预算无法让你购买新工具，那么这里有几个小技巧，也许对你人工阅读记录有所帮助：

寻找长期持久的扫描行为，虽然不是入侵性的

特别留意在UDP尝试之后的TCP扫描。

如果你看到每隔一定时间有重复的扫描在试图查出网络的端口，就对其进行跟踪，从而确认它的活动源头，最终在你的安全外边界上对其进行阻挡。

最后想法
最狡猾的攻击者们通常都会尝试躲过你的探测雷达悄悄进入系统。不要仅仅依赖于自动通知系统来对企业的安全进行报警提示。阅读你的log文件，并对网络上正在进行的活动得出自己的结论。

让自动系统去发现那些“脚本”。你的注意力要集中在发现那些低级慢速的入侵企图上——然后将他们扼杀在进攻路途中。

（责任编辑:陈毅东）

VIP用户

普通用户

邮件订阅

如果您非常迫切的想了解IT领域最新产品与技术信息，那么订阅至顶网技术邮件将是您的最佳途径之一。

重磅专题

往期文章

业界热点: