知己知彼 全面剖析端口扫描攻击(1)

现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过，一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为，然后它可以通过阻挡源IP地址来实现关闭这个扫描，或者自动向安全管理员告警：一个针对开放端口进行的大范围快速扫描产生了多条日志条目!

　　

　　图1、扫描行为是黑客攻击的前奏

　　但是，多数认真的攻击者一般不会通过执行这种扫描来暴露自己的意图。相反，他们将会放慢速度，使用半连接(half-connection)尝试来找出你的可用资源。

　　不幸的是，尽管这种慢速的攻击方法非常耗时，它实现起来却不困难，更重要的是我们很难防范它。这就是为什么你需要了解这种类型攻击活动的原因，所谓知己知彼百战不殆，首先你需要让自己熟悉攻击者使用的工具，并且要了解这种慢速扫描实现起来是多么简单。

　　了解攻击者经常使用的工具

　　在网络上有几种免费的端口扫描器可供任何人使用，让我们看一下其中最为流行的四个：

　　1、端口扫描之王-Nmap

　　Nmap(Network Mapper，网络映射器)安全扫描器目前已经升级到了第四版。这个软件工具提供了广泛的端口扫描技术，旨在快速扫描大小规模的网络，进行网络探查和安全检查。这个具有多种功能的工具能够确定网络上有什么主机，这些主机提供什么服务，正在使用的是什么类型的数据包过滤器和防火墙。这个工具还能够远程识别一台机器的操作系统。这个工具软件支持大多数Unix和Windows平台，还支持Mac OS X和若干种掌上设备。

　　

　　图2、端口扫描之王Nmap

　　这个软件有命令行和图形用户界面两种模式，不熟悉命令提示符的用户也可以轻松使用。

　　另外，Nmap是一种人们喜爱的黑客工具。它可以被黑客利用来对目标机器或目标网络进行端口扫描，以发现可以利用的漏洞信息。例如，一台Windows计算机能够使用数百个端口与其它的机器进行通信，每一个端口都是攻击者进入你的网络的潜在的途径。

　　在电影《黑客帝国2:重装上阵》中使用了这个软件的功能，此外，美国总统布什视察国家安全局的照片上也出现了这个软件。