科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道保护网络免受慢速扫描

保护网络免受慢速扫描

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

有许多的安全工具可以对大范围的IP地址以及端口进行扫描。对于这种宽幅扫描,一个入侵检测系统(IDS)可以迅速捕捉到。然而,绝大多数狡猾的攻击者们都不会进行这种类型 的扫描。

作者:techrepublic.com.com 2007年1月18日

关键字: IDS 安全管理

  • 评论
  • 分享微博
  • 分享邮件
有许多的安全工具可以对大范围的IP地址以及端口进行扫描。对于这种宽幅扫描,一个入侵检测系统(IDS)可以迅速捕捉到。然后,IDS系统可以通过阻挡该扫描的源地址,迅速 的切断该扫描,或对相关人员发出警告,警告一个对开放端口的宽幅快速扫描形成了多个登录入口。

然而,绝大多数狡猾的攻击者们都不会进行这种类型的扫描。实际上,他们采取的方法更加低级而缓慢,通过使用单向连接的尝试,来找出你那些可用的资源。

不幸的是,虽然这种“低层慢速”的方法用起来旷日持久,但使用方面却毫不困难——而对防御者来说却是极难防范。这也就是为什么你需要通过熟悉那些攻击者所使用的工具, 以及了解这种缓慢扫描用起来多么容易,从而加深对这种行动类型的了解。

了解工具
在网页上有许多免费的端口扫描器。我们来看看其中最流行的四种:

  • Nmap: 这个用于网络浏览或安全审核的工具,通过异常的方式来使用raw IP数据包,从而确认网络上可用的主机有哪些,这些主机提供哪些服务(具体应用程序名称和版本) ,是用什么操作系统(以及操作系统的版本号),使用何种数据包过滤器和防火墙,以及大量的其他特征数据。

  • Angry IP Scanner: 这个工具可以扫描任何范围内的IP地址,以及任何范围内的端口。它通过对每个IP地址执行Ping操作来确定该地址是否有效;然后通过解析主机名,从而 确认MAC地址,并对开放的端口进行扫描。

  • Unicornscan:特别为基于UNIX的系统设计,这个网络扫描器的开发基于正确的从UDP扫描中收集数据的需求,以便确定到底某个端口是实际开放,或是隐藏在防火墙之后。

  • Netcat:有时候被人们叫做“网络瑞士军刀”。这是一个用于网络跟踪和探查的工具。它可以建立几乎所有你需要的连接类型,包括端口绑定来接受进入的连接。这个工具有6 种变化。

    上面这4个,仅仅是一个攻击者可以从网页上免费找到的工具范例(不是所有的扫描器都可以让自己的扫描躲过IDS的探测)。现在,让我们来仔细看看一个攻击者使用Netcat这个 工具,如何躲过IDS对网络进行扫描。

    了解“低层慢速”扫描,这里是Netcat的命令语法:

    nc [-options] hostname port[s] [ports]

    Netcat提供了下述命令行开关,你可以用这些来悄悄的对一个网络进行探查:

  • -i (每次扫描之间的时间间隔)
  • -r (对端口检测实施随机选择)
  • -v (显示连接的详细情况)
  • -z (发送一定量的数据以获取某个开放端口的响应)

    下面是一个使用该工具扫描特定网页服务器的范例:

    nc -v -z -r -i 31 123.321.123.321 20-443

    这个命令告诉Netcat执行下述操作:

  • 扫描IP地址 123.321.123.321.
  • 扫描TCP端口,从20到443.
  • 对端口扫描执行乱序扫描
  • 对开放的端口不进行回应
  • 对每一次探查进行31秒的延迟
  • 对相关信息,记录到控制台

    尽管IDS会对这些活动进行记录,但是你认为它会对这种类型的活动做出反应么?很可能不会——这些活动是杂乱无序的,单向连接的,而且每一次探查之间都有一个特定的延迟。 那么,你该怎么防护这种类型的扫描呢?

    保护你的网络
    不幸的是,你只有两个方法来对付这种低级慢速扫描的攻击:购买昂贵的相关性工具,或人工阅读记录文件。如果你的预算无法让你购买新工具,那么这里有几个小技巧,也许对 你人工阅读记录有所帮助:

  • 寻找长期持久的扫描行为,虽然不是入侵性的

  • 特别留意在UDP尝试之后的TCP扫描。

    如果你看到每隔一定时间有重复的扫描在试图查出网络的端口,就对其进行跟踪,从而确认它的活动源头,最终在你的安全外边界上对其进行阻挡。

    最后想法
    最狡猾的攻击者们通常都会尝试躲过你的探测雷达悄悄进入系统。不要仅仅依赖于自动通知系统来对企业的安全进行报警提示。阅读你的log文件,并对网络上正在进行的活动得出 自己的结论。

    让自动系统去发现那些“脚本”。你的注意力要集中在发现那些低级慢速的入侵企图上——然后将他们扼杀在进攻路途中。

    (责任编辑:陈毅东

    查看本文的国际来源

      • 评论
      • 分享微博
      • 分享邮件
      邮件订阅

      如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

      重磅专题
      往期文章
      最新文章