1、扫描工具
攻击者采用的扫描手段是很多的,可以使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。其中 SuperScan的扫描速度非常快,而NMAP的扫描非常的专业,不但误报很少,而且还可以扫描到很多的信息,包括系统漏洞、共享密码、开启服务等等。
2、防范原理
要针对这些扫描进行防范,首先要禁止ICMP的回应,当对方进行扫描的时候,由于无法得到ICMP的回应,扫描器会误认为主机不存在,从而达到保护自己的目的。
一、防范措施
1、关闭端口
关闭闲置和有潜在危险的端口。这个方法比较被动,它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就而言,所有 的端口都可能成为攻击的目标。可以说,计算机的所有对外通讯的端口都存在潜在的危险,而一些系统必要的通讯端口,如访问网页需要的HTTP(80端 口);QQ(4000端口)等不能被关闭。
在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”(黑名单)和“只开放允许端口的方式”(白名单)进行设置。计算机的 一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了。
进入“控制面板”→“管理工具”→“服务”项内,关闭掉计算机的一些没有使用的服务(如服务、DNS服务、IIS Admin服务等等),它们对应的端口也被停用了。至于“只开放允许端口的方式”,可以利用系统的“筛选”功能实现,设置的时候,“只允许” 系统的一些基本网络通讯需要的端口即可。
2、屏蔽端口
检查各端口,有端口扫描的症状时,立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络。
防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接 收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP端口”被打开;端口扫描时,对方计算机不断和本地计算机 建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口。防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方 发送过来的所有扫描需要的数据包。
现在市面上几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。
二、方法工具:
1、系统防火墙
现在很多的防火墙都有禁止ICMP的设置,而Windows XP SP2自带的防火墙也包括该功能。启用这项功能的设置非常简单:执行“控制面板”→“Windows防火墙”,点击“高级”选项卡,选择系统中已经建立的 Internet连接方式(宽带连接),点击旁边的“设置”按钮打开“高级设置”窗口,点击“ICMP”选项卡,确认没有勾选“允许传入的回显请求”,最 后点击“确定”即可。
另外,通过其他专业的防火墙软件不但可以拦截来自的各种扫描,从软件的日志中,我们还可以查看到数据包的来源和入侵方式等。
2、第三方防火墙
在局域网中部署第三方的防火墙,这些防火墙都自带了一些默认的“规则”,可以非常方便地应用或者取消应用这些规则。当然也可以根据具体需要创建相应的防火墙规则,这样可以比较有效地阻止攻击者的恶意扫描。
比如以天网防火墙为例:首先运行天网防火墙,点击操作界面中的“IP规则管理”按钮,弹出“自定义IP规则”窗口,去掉“允许局域网的机器用 ping命令探测”选项,最后点击“保存规则”按钮进行保存即可。 例如创建一条防止Ineternet中的主机ping的规则,可以点击“增加规则”按钮,输入如图的相关参数就创建成功,然后勾选并保存该规则就可以防止 网络中的主机恶意扫描局域网了。
三、蜜罐技术
蜜罐工具很多,其原理大同小异,它会虚拟一台有“缺陷”的电脑,等着恶意攻击者上钩。在黑客看来被扫描的主机似乎打开了相应的端口,但是却无法实施工具,从而保护了真正的主机,这也可以说是比较另类的防扫描手法。
例如,Defnet HoneyPot 2004,它是一个著名的“蜜罐”虚拟系统,通过Defnet HoneyPot虚拟出来的系统和真正的系统看起来没有什么两样,但它是为恶意攻击者布置的陷阱。只不过,这个陷阱欺骗恶意攻击者,能够记录他都执行了那 些命令,进行了哪些操作,使用了哪些恶意攻击工具。通过陷阱的记录,可以了解攻击者的习惯,掌握足够的攻击证据,甚至反击攻击者。利用该工具部署一个蜜罐 系统非常简单,打开软件,输入相应的参数即可。然后它会随机启动,如果有恶意的扫描它都会记录下来如图。
总结:
防扫描,是防网络攻击、网络入侵的第一步。不管是个人电脑还是企业环境下,预防来自Internet或者内网的恶意扫描是非常重要的,至少可以杜绝来自一般入侵者的骚扰,而这也是网络入侵的大多数。