1、掃描工具

攻擊者采用的掃描手段是很多的，可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC等命令和工具進(jìn)行遠(yuǎn)程計(jì)算機(jī)的掃描。其中 SuperScan的掃描速度非?？?，而NMAP的掃描非常的專(zhuān)業(yè)，不但誤報(bào)很少，而且還可以?huà)呙璧胶芏嗟男畔?，包括系統(tǒng)漏洞、共享密碼、開(kāi)啟服務(wù)等等。

2、防范原理

要針對(duì)這些掃描進(jìn)行防范，首先要禁止ICMP的回應(yīng)，當(dāng)對(duì)方進(jìn)行掃描的時(shí)候，由于無(wú)法得到ICMP的回應(yīng)，掃描器會(huì)誤認(rèn)為主機(jī)不存在，從而達(dá)到保護(hù)自己的目的。

一、防范措施

1、關(guān)閉端口

關(guān)閉閑置和有潛在危險(xiǎn)的端口。這個(gè)方法比較被動(dòng)，它的本質(zhì)是將除了用戶(hù)需要用到的正常計(jì)算機(jī)端口之外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投裕?的端口都可能成為攻擊的目標(biāo)?？梢哉f(shuō)，計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)，而一些系統(tǒng)必要的通訊端口，如訪(fǎng)問(wèn)網(wǎng)頁(yè)需要的HTTP(80端 口);QQ(4000端口)等不能被關(guān)閉。

在Windows NT核心系統(tǒng)(Windows 2000/XP/ 2003)中要關(guān)閉掉一些閑置端口是比較方便的，可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開(kāi)放允許端口的方式”(白名單)進(jìn)行設(shè)置。計(jì)算機(jī)的 一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口，將一些閑置的服務(wù)關(guān)閉掉，其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了。

進(jìn)入“控制面板”→“管理工具”→“服務(wù)”項(xiàng)內(nèi)，關(guān)閉掉計(jì)算機(jī)的一些沒(méi)有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等)，它們對(duì)應(yīng)的端口也被停用了。至于“只開(kāi)放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn)，設(shè)置的時(shí)候，“只允許” 系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。(圖1)

圖1

2、屏蔽端口

檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口。這種預(yù)防端口掃描的方式通過(guò)用戶(hù)自己手工是不可能完成的，或者說(shuō)完成起來(lái)相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。

防火墻的工作原理是:首先檢查每個(gè)到達(dá)你的電腦的數(shù)據(jù)包，在這個(gè)包被你機(jī)上運(yùn)行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接 收Internet上的任何東西。當(dāng)?shù)谝粋€(gè)請(qǐng)求建立連接的包被你的電腦回應(yīng)后，一個(gè)“TCP/IP端口”被打開(kāi);端口掃描時(shí)，對(duì)方計(jì)算機(jī)不斷和本地計(jì)算機(jī) 建立連接，并逐漸打開(kāi)各個(gè)服務(wù)所對(duì)應(yīng)的“TCP/IP端口”及閑置端口。防火墻經(jīng)過(guò)自帶的攔截規(guī)則判斷，就能夠知道對(duì)方是否正進(jìn)行端口掃描，并攔截掉對(duì)方 發(fā)送過(guò)來(lái)的所有掃描需要的數(shù)據(jù)包。

現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描，在默認(rèn)安裝后，應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中，否則它會(huì)放行端口掃描，而只是在日志中留下信息而已。

二、方法工具：

1、系統(tǒng)防火墻

現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置，而Windows XP SP2自帶的防火墻也包括該功能。啟用這項(xiàng)功能的設(shè)置非常簡(jiǎn)單：執(zhí)行“控制面板”→“Windows防火墻”，點(diǎn)擊“高級(jí)”選項(xiàng)卡，選擇系統(tǒng)中已經(jīng)建立的 Internet連接方式(寬帶連接)，點(diǎn)擊旁邊的“設(shè)置”按鈕打開(kāi)“高級(jí)設(shè)置”窗口，點(diǎn)擊“ICMP”選項(xiàng)卡，確認(rèn)沒(méi)有勾選“允許傳入的回顯請(qǐng)求”，最 后點(diǎn)擊“確定”即可。(圖2)

圖2

另外，通過(guò)其他專(zhuān)業(yè)的防火墻軟件不但可以攔截來(lái)自局域網(wǎng)的各種掃描入侵，從軟件的日志中，我們還可以查看到數(shù)據(jù)包的來(lái)源和入侵方式等。

2、第三方防火墻

在企業(yè)局域網(wǎng)中部署第三方的防火墻，這些防火墻都自帶了一些默認(rèn)的“規(guī)則”，可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要?jiǎng)?chuàng)建相應(yīng)的防火墻規(guī)則，這樣可以比較有效地阻止攻擊者的惡意掃描。

比如以天網(wǎng)防火墻為例：首先運(yùn)行天網(wǎng)防火墻，點(diǎn)擊操作界面中的“IP規(guī)則管理”按鈕，彈出“自定義IP規(guī)則”窗口，去掉“允許局域網(wǎng)的機(jī)器用 ping命令探測(cè)”選項(xiàng)，最后點(diǎn)擊“保存規(guī)則”按鈕進(jìn)行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機(jī)ping的規(guī)則，可以點(diǎn)擊“增加規(guī)則”按鈕，輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功，然后勾選并保存該規(guī)則就可以防止 網(wǎng)絡(luò)中的主機(jī)惡意掃描局域網(wǎng)了。(圖3)

圖3

三、蜜罐技術(shù)

蜜罐工具很多，其原理大同小異，它會(huì)虛擬一臺(tái)有“缺陷”的電腦，等著惡意攻擊者上鉤。在黑客看來(lái)被掃描的主機(jī)似乎打開(kāi)了相應(yīng)的端口，但是卻無(wú)法實(shí)施工具，從而保護(hù)了真正的主機(jī)，這也可以說(shuō)是比較另類(lèi)的防掃描手法。

例如，Defnet HoneyPot 2004，它是一個(gè)著名的“蜜罐”虛擬系統(tǒng)，通過(guò)Defnet HoneyPot虛擬出來(lái)的系統(tǒng)和真正的系統(tǒng)看起來(lái)沒(méi)有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過(guò)，這個(gè)陷阱欺騙惡意攻擊者，能夠記錄他都執(zhí)行了那 些命令，進(jìn)行了哪些操作，使用了哪些惡意攻擊工具。通過(guò)陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。利用該工具部署一個(gè)蜜罐 系統(tǒng)非常簡(jiǎn)單，打開(kāi)軟件，輸入相應(yīng)的參數(shù)即可。然后它會(huì)隨機(jī)啟動(dòng)，如果有惡意的掃描它都會(huì)記錄下來(lái)如圖。(圖4)

圖4

總結(jié)：

防掃描，是防網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵的第一步。不管是個(gè)人電腦還是企業(yè)環(huán)境下，預(yù)防來(lái)自Internet或者內(nèi)網(wǎng)的惡意掃描是非常重要的，至少可以杜絕來(lái)自一般入侵者的騷擾，而這也是網(wǎng)絡(luò)入侵的大多數(shù)。

【編輯推薦】

1. 奧運(yùn)期間 黑客攻擊將成國(guó)內(nèi)網(wǎng)站最大安全隱患
2. 借助路由器來(lái)防范網(wǎng)絡(luò)中的惡意攻擊
3. 系統(tǒng)安全防范之Linux下簡(jiǎn)單的入侵檢測(cè)