問：我在一家大型圖書館工作，我們有兩個獨立的網(wǎng)絡：一個用于公共訪問，另一個用作我們專用內(nèi)部網(wǎng)絡。大概一個星期以前，我發(fā)現(xiàn)有人在我們的公共網(wǎng)絡上運行端口掃描（明顯此操作是未授權的）。怎樣才能防止公共用戶在連接公共無線網(wǎng)的計算機或上網(wǎng)本上進行掃描呢？

答：考慮到公共無線網(wǎng)絡的特點，主動去處理端口掃描很復雜。

我們可以嘗試在網(wǎng)絡層處理端口掃描，但是因為我們需要保護的系統(tǒng)和未授權的掃描系統(tǒng)在相同的虛擬局域網(wǎng)（VLAN）上，所以很難識別阻塞點（choke point）或切入點，以部署主動的基于網(wǎng)絡的發(fā)現(xiàn)和防御功能，如基于網(wǎng)絡的入侵防御系統(tǒng)（IPS）。

理想情況下，你可能希望在主機（host）層來處理。要說明的是，這里的主機指的是你要保護的系統(tǒng)。根據(jù)操作系統(tǒng)的類型，只有一些基于主機的產(chǎn)品可以攔截端口掃描。在Windows中，有反病毒廠商提供的一些成熟的產(chǎn)品，具有內(nèi)置的防火墻和IPS。在Unix/Linux系統(tǒng)中，有一個很有趣的工具，掃描攻擊檢測軟件（Port Scan Attack Detector，PSAD），它利用iptable日志，并追蹤端口掃描。因為它與iptables整合，所以能夠攔截發(fā)起掃描的源。

【編輯推薦】

1. Deutsche Telekom Teledat DSL路由器端口掃描遠程拒絕服務攻擊漏洞
2. 由滲透掃描到實施路由器跳板攻擊