如何保护网络免遭慢扫描攻击

申请免费试用、咨询电话：400-8352-114

当前，业界内有很多用于扫描大面积端口和IP地址的安全工具。其中，入侵检测系统（IDS）通常能实现大面积扫描。IDS可以通过阻止源IP地址或改变其日志属性关闭通过广泛快速扫描已开端口的工具。

然而，大部分的攻击者不会通过运行这种类型的扫描程序来暴露他们的目的。相反地，它们会运行一种低调慢速半连接的攻击程序制订所能获取的资源。

由于低调慢速的方法很消耗时间，所以它并不难执行，但很难防护。这就是你所需要熟悉攻击者使用的工具并理解这些行为的原因。

学会这类工具

在网上可以获得几种免费端口扫描工具，其中以下四种最为流行：

Nmap (http://insecure.org/):用于网络探测和安全审核用户获取IP包来检测网络上主机种类，主机提供服务（应用程序名称及版本）类型，它们运行操作系统（操作系统版本），它们使用过滤系统及防火墙类型，以及其他的特征。

Angry IP Scanner (http://www.angryziber.com/ipscan/):用于扫描任意范围内的IP地址及端口。它使用ping命令检测IP地址是否活跃在网上，然后解析主机、检测其MAC地址，扫描其打开的端口。

Unicornscan: (http://www.unicornscan.org/)：用于基于UNIX系统，该网络扫描工具根据需要通过UDP扫描精确地收集数据以预测打开的端口。

Netcat: (http://sectools.org/netcats.html)：也称“网络瑞士军刀”。其为一种网络调试探测工具，能创建所需要的任何类型的连接，包括端口绑定用于接受外来连接，该工具包括6种不同版本。

以下列出攻击者轻松获取网上资源的范例。现在让我们来看看攻击者是如何使用Netcat工具来躲避IDS标记的过程。

理解低调慢速扫描

以下为Netcat的语法：

nc [-options] hostname port[s] [ports]

Netcat提供了如下命令行，用户可以使用它轻松地探测网络：

-i (端口扫描延时秒数)

-r (随机扫描端口)

-v (显示连接细节)

-z (发送最小数据包以获取来自打开窗口地响应)

以下是使用Netcat扫描指定Web服务的一个例子：

nc -v -z -r -i 31 123.321.123.321 20-443

以上这条语句演示Netcat以如下方式运行：

1.扫描IP地址：123.321.123.321。

2.扫描TCP端口20－443。

3.随机进行端口扫描。

4.不响应打开窗口。

5.每隔31秒执行一次。

6.将信息写入控制台日志中。

虽然IDS能记录各种攻击行为，但你觉得它能标记这类扫描行为吗？大概不行——因为它们是随机的、半攻击的，并且在两个探测之间有一个明显的延时。那如何来防卫这类扫描呢？

保护你的网络

不幸的是，你只有两种选择来防卫这种低调慢速的攻击：购买昂贵的相关工具，或者很费劲地检查日志。如果你的预算不允许购买新的工具，可以采用以下技巧详细审查日志：

查看持续的但非入侵的扫描日志。

特别注意UDP攻击之后进行的TCP扫描。

如果看到很长时间不断地制订你的网络端口的攻击行为，请追踪核实其来源，并将其阻止。 

最终方法

那些狡猾的攻击者总是试图在你的检测下入侵到你的系统。此时，请不要完全依赖于检测系统的自动报警。仔细阅读日志文件，并亲自总结你的网络目前面临的处境。

充分使用自动检测系统查找攻击者的入侵痕迹，尤其注意那些低调慢速攻击，并努力停止它们的入侵步伐。

Mike Mullins 曾担任过美国隐私服务中心和信息防卫系统代理中心的网络管理员助理及网络安全管理员工作。他目前是南方戏剧网络操作及安全中心的主任。(zdnet)