知己知彼 全面剖析端口扫描攻击(3)

　　netcat工具小巧玲珑，被誉为网络安全界的‘瑞士军刀’，相信很多人对它一定不陌生。它是一个简单但实用的工具，通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接。

　　图5、Netcat

　　下文我们将以它为例介绍如何实现慢速扫描。

　　以上提到的只是攻击者可以免费从网络上找到的工具的一部分，并不是让他们可以绕开入侵检测系统的检测进行扫描的全部扫描器。现在，让我们以Netcat工具为例，来看一下攻击者如何躲开入侵检测系统来进行网络扫描。

　　了解慢速扫描实现过程

　　以下是Netcat的命令的语法：

　　nc [-options] hostname port[s] [ports]

　　Netcat提供了以下命令行参数可以被人们使用来悄悄的浏览一个网络：

　　·-i：端口扫描的延时间隔秒数

　　·-r：随机端口发现

　　·-v：显示连接详细信息

　　·-z：发送最小量数据来获得来自一个开放端口的回复

　　以下是使用这个工具扫描一个特定网络服务器的例子：

　　nc -v -z -r -i 31 123.321.123.321 20-443

　　这个命令告诉扫描工具完成以下任务：

　　1、扫描IP地址123.321.123.321。

　　2、扫描20到443的TCP端口。

　　3、对端口扫描随机化进行。

　　4、不回应开放端口。

　　5、每隔31秒进行一次扫描尝试。

　　6、记录信息日志到终端界面

　　尽管一个入侵检测系统可以记录这些扫描尝试，但是你认为它会标记这种类型的活动吗?我想可能不会，因为它们是随机的半尝试，而且在每次探测之间有比较大的延时。那么你应该如何来针对这种类型的扫描进行防御呢?

保卫你的网络 找出慢速扫描攻击

　　不幸的是，你只有两个选择来防护这种慢速扫描攻击：购买昂贵的相关防护工具，或者用你的肉眼来查看入侵检测系统日志。如果你的预算不允许你购买新工具的话，以下是在你对日志进行详细审查时可以使用的技巧：

　　·找出持续进行的入侵扫描

　　·特别注意后面紧跟一个UDP尝试的TCP扫描情况

　　·如果你看到在一段时间内重复进行的扫描尝试试图探测你的网络上的端口，跟踪并查证这个活动到它的源地址，然后在你的外层安全边界阻止它。

　　总结

　　最聪明的攻击者总是会在你的检测雷达监视下进入你的网络，不要过分依赖自动提示来向你告警企业安全所面临的全部危险。阅读你的日志，然后得出你自己的于网络活动状态的结论。

　　让那些自动化系统去对付那些脚本小子吧。把你的注意力集中在那些试图通过慢速扫描入侵你的网络的尝试，然后把它们阻挡。