现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过，一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为，然后它可以通过阻挡源IP地址来实现关闭这个扫描，或者自动向安全管理员告警：一个针对开放端口进行的大范围快速扫描产生了多条日志条目!

      但是，多数认真的攻击者一般不会通过执行这种扫描来暴露自己的意图。相反，他们将会放慢速度，使用半连接(half-connection)尝试来找出你的可用资源。

      不幸的是，尽管这种慢速的攻击方法非常耗时，它实现起来却不困难，更重要的是我们很难防范它。这就是为什么你需要了解这种类型攻击活动的原因，所谓知己知彼百战不殆，首先你需要让自己熟悉攻击者使用的工具，并且要了解这种慢速扫描实现起来是多么简单。

      了解攻击者经常使用的工具

      在网络上有几种免费的端口扫描器可供任何人使用，让我们看一下其中最为流行的四个：

      1、端口扫描之王-Nmap

      Nmap(Network Mapper，网络映射器)安全扫描器目前已经升级到了第四版。这个软件工具提供了广泛的端口扫描技术，旨在快速扫描大小规模的网络，进行网络探查和安全检查。这个具有多种功能的工具能够确定网络上有什么主机，这些主机提供什么服务，正在使用的是什么类型的数据包过滤器和防火墙。这个工具还能够远程识别一台机器的操作系统。这个工具软件支持大多数Unix和Windows平台，还支持

      Mac OS X和若干种掌上设备。

图 Netcat

      下文我们将以它为例介绍如何实现慢速扫描。

      以上提到的只是攻击者可以免费从网络上找到的工具的一部分，并不是让他们可以绕开入侵检测系统的检测进行扫描的全部扫描器。现在，让我们以Netcat工具为例，来看一下攻击者如何躲开入侵检测系统来进行网络扫描。

      了解慢速扫描实现过程

      以下是Netcat的命令的语法：

      nc [-options] hostname port[s] [ports]

      Netcat提供了以下命令行参数可以被人们使用来悄悄的浏览一个网络：

      ·-i：端口扫描的延时间隔秒数

      ·-r：随机端口发现

      ·-v：显示连接详细信息

      ·-z：发送最小量数据来获得来自一个开放端口的回复

      以下是使用这个工具扫描一个特定网络服务器的例子：

      nc -v -z -r -i 31 123.321.123.321 20-443

      这个命令告诉扫描工具完成以下任务：

      1、扫描IP地址123.321.123.321。

      2、扫描20到443的TCP端口。

      3、对端口扫描随机化进行。

      4、不回应开放端口。

      5、每隔31秒进行一次扫描尝试。

      6、记录信息日志到终端界面

      尽管一个入侵检测系统可以记录这些扫描尝试，但是你认为它会标记这种类型的活动吗?我想可能不会，因为它们是随机的半尝试，而且在每次探测之间有比较大的延时。那么你应该如何来针对这种类型的扫描进行防御呢?

      保卫你的网络 找出慢速扫描攻击

      不幸的是，你只有两个选择来防护这种慢速扫描攻击：购买昂贵的相关防护工具，或者用你的肉眼来查看入侵检测系统日志。如果你的预算不允许你购买新工具的话，以下是在你对日志进行详细审查时可以使用的技巧：

      ·找出持续进行的入侵扫描

      ·特别注意后面紧跟一个UDP尝试的TCP扫描情况

      ·如果你看到在一段时间内重复进行的扫描尝试试图探测你的网络上的端口，跟踪并查证这个活动到它的源地址，然后在你的外层安全边界阻止它。

      总结

      最聪明的攻击者总是会在你的检测雷达监视下进入你的网络，不要过分依赖自动提示来向你告警企业安全所面临的全部危险。阅读你的日志，然后得出你自己的于网络活动状态的结论。

      让那些自动化系统去对付那些脚本小子吧。把你的注意力集中在那些试图通过慢速扫描入侵你的网络的尝试，然后把它们阻挡。
 
 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛https://bbs.txwb.com

关注天下网吧微信,了解网吧网咖经营管理，安装维护: