扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
然而,绝大多数狡猾的攻击者们都不会进行这种类型的扫描。实际上,他们采取的方法更加低级而缓慢,通过使用单向连接的尝试,来找出你那些可用的资源。
不幸的是,虽然这种“低层慢速”的方法用起来旷日持久,但使用方面却毫不困难——而对防御者来说却是极难防范。这也就是为什么你需要通过熟悉那些攻击者所使用的工具, 以及了解这种缓慢扫描用起来多么容易,从而加深对这种行动类型的了解。
了解工具
在网页上有许多免费的端口扫描器。我们来看看其中最流行的四种:
上面这4个,仅仅是一个攻击者可以从网页上免费找到的工具范例(不是所有的扫描器都可以让自己的扫描躲过IDS的探测)。现在,让我们来仔细看看一个攻击者使用Netcat这个 工具,如何躲过IDS对网络进行扫描。
了解“低层慢速”扫描,这里是Netcat的命令语法:
nc [-options] hostname port[s] [ports]
Netcat提供了下述命令行开关,你可以用这些来悄悄的对一个网络进行探查:
下面是一个使用该工具扫描特定网页服务器的范例:
nc -v -z -r -i 31 123.321.123.321 20-443
这个命令告诉Netcat执行下述操作:
尽管IDS会对这些活动进行记录,但是你认为它会对这种类型的活动做出反应么?很可能不会——这些活动是杂乱无序的,单向连接的,而且每一次探查之间都有一个特定的延迟。 那么,你该怎么防护这种类型的扫描呢?
保护你的网络
不幸的是,你只有两个方法来对付这种低级慢速扫描的攻击:购买昂贵的相关性工具,或人工阅读记录文件。如果你的预算无法让你购买新工具,那么这里有几个小技巧,也许对 你人工阅读记录有所帮助:
如果你看到每隔一定时间有重复的扫描在试图查出网络的端口,就对其进行跟踪,从而确认它的活动源头,最终在你的安全外边界上对其进行阻挡。
最后想法
最狡猾的攻击者们通常都会尝试躲过你的探测雷达悄悄进入系统。不要仅仅依赖于自动通知系统来对企业的安全进行报警提示。阅读你的log文件,并对网络上正在进行的活动得出 自己的结论。
让自动系统去发现那些“脚本”。你的注意力要集中在发现那些低级慢速的入侵企图上——然后将他们扼杀在进攻路途中。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。