扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2007年12月12日
关键字: 网络攻击
现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过,一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为,然后它可以通过阻挡源IP地址来实现关闭这个扫描,或者自动向安全管理员告警:一个针对开放端口进行的大范围快速扫描产生了多条日志条目!
图1、扫描行为是黑客攻击的前奏
但是,多数认真的攻击者一般不会通过执行这种扫描来暴露自己的意图。相反,他们将会放慢速度,使用半连接(half-connection)尝试来找出你的可用资源。
不幸的是,尽管这种慢速的攻击方法非常耗时,它实现起来却不困难,更重要的是我们很难防范它。这就是为什么你需要了解这种类型攻击活动的原因,所谓知己知彼百战不殆,首先你需要让自己熟悉攻击者使用的工具,并且要了解这种慢速扫描实现起来是多么简单。
了解攻击者经常使用的工具
在网络上有几种免费的端口扫描器可供任何人使用,让我们看一下其中最为流行的四个:
1、端口扫描之王-Nmap
Nmap(Network Mapper,网络映射器)安全扫描器目前已经升级到了第四版。这个软件工具提供了广泛的端口扫描技术,旨在快速扫描大小规模的网络,进行网络探查和安全检查。这个具有多种功能的工具能够确定网络上有什么主机,这些主机提供什么服务,正在使用的是什么类型的数据包过滤器和防火墙。这个工具还能够远程识别一台机器的操作系统。这个工具软件支持大多数Unix和Windows平台,还支持Mac OS X和若干种掌上设备。
图2、端口扫描之王Nmap
这个软件有命令行和图形用户界面两种模式,不熟悉命令提示符的用户也可以轻松使用。
另外,Nmap是一种人们喜爱的黑客工具。它可以被黑客利用来对目标机器或目标网络进行端口扫描,以发现可以利用的漏洞信息。例如,一台Windows计算机能够使用数百个端口与其它的机器进行通信,每一个端口都是攻击者进入你的网络的潜在的途径。
在电影《黑客帝国2:重装上阵》中使用了这个软件的功能,此外,美国总统布什视察国家安全局的照片上也出现了这个软件。
2、高速外国扫描器-Angry IP Scanner
Angry IP Scanner是一个相当小的IP扫描软件,不过虽然它的体积小,但功能确一点也不小,可以在最短的时间内扫描远端主机IP的运作状况,并且快速的将结果整理完回报给您知晓。Angry IP Scanner可以扫描的项目也不少,包括了远端主机的名称、目前开启的通信端口以及IP的运作状况等,让您可以完全掌握对方主机的运作状况。Angry IP Scanner可以允许您扫描的范围相当大,只要您不嫌花费的时间比较长,还可以从1.1.1.1一直扫到255.255.255.255,AngryIP Scanner会为您详实的去Ping每个IP,并且将状况回报给您。
图3、Angry IP Scanner
3、另类端口扫描器-Unicornscan
Unicornscan是一款通过尝试连接用户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端口扫描器。它试图为研究人员提供一种可以刺激TCP/IP设备和网络并度量反馈的超级接口。它主要功能包括带有所有TCP变种标记的异步无状态TCP扫描、异步无状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应用程序、组件信息。它和Scanrand一样都是另类扫描器。
图4、Unicornscan
4、网络工具中的瑞士军刀-Netcat
netcat工具小巧玲珑,被誉为网络安全界的‘瑞士军刀’,相信很多人对它一定不陌生。它是一个简单但实用的工具,通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接。
图5、Netcat
下文我们将以它为例介绍如何实现慢速扫描。
以上提到的只是攻击者可以免费从网络上找到的工具的一部分,并不是让他们可以绕开入侵检测系统的检测进行扫描的全部扫描器。现在,让我们以Netcat工具为例,来看一下攻击者如何躲开入侵检测系统来进行网络扫描。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。