1、掃描工具
攻擊者采用的掃描手段是很多的,可以使用Ping、網絡鄰居、SuperScan、NMAP、NC等命令和工具進行遠程計算機的掃描。其中 SuperScan的掃描速度非常快,而NMAP的掃描非常的專業,不但誤報很少,而且還可以掃描到很多的信息,包括系統漏洞、共享密碼、開啟服務等等。
2、防范原理
要針對這些掃描進行防范,首先要禁止ICMP的回應,當對方進行掃描的時候,由于無法得到ICMP的回應,掃描器會誤認為主機不存在,從而達到保護自己的目的。
一、防范措施
1、關閉端口
關閉閑置和有潛在危險的端口。這個方法比較被動,它的本質是將除了用戶需要用到的正常計算機端口之外的其他端口都關閉掉。因為就黑客而言,所有 的端口都可能成為攻擊的目標。可以說,計算機的所有對外通訊的端口都存在潛在的危險,而一些系統必要的通訊端口,如訪問網頁需要的HTTP(80端 口);QQ(4000端口)等不能被關閉。
在Windows NT核心系統(Windows 2000/XP/ 2003)中要關閉掉一些閑置端口是比較方便的,可以采用“定向關閉指定服務的端口”(黑名單)和“只開放允許端口的方式”(白名單)進行設置。計算機的 一些網絡服務會有系統分配默認的端口,將一些閑置的服務關閉掉,其對應的端口也會被關閉了。
進入“控制面板”→“管理工具”→“服務”項內,關閉掉計算機的一些沒有使用的服務(如FTP服務、DNS服務、IIS Admin服務等等),它們對應的端口也被停用了。至于“只開放允許端口的方式”,可以利用系統的“TCP/IP篩選”功能實現,設置的時候,“只允許” 系統的一些基本網絡通訊需要的端口即可。(圖1)
 |
| 圖1 |
2、屏蔽端口
檢查各端口,有端口掃描的癥狀時,立即屏蔽該端口。這種預防端口掃描的方式通過用戶自己手工是不可能完成的,或者說完成起來相當困難,需要借助軟件。這些軟件就是我們常用的網絡防火墻。
防火墻的工作原理是:首先檢查每個到達你的電腦的數據包,在這個包被你機上運行的任何軟件看到之前,防火墻有完全的否決權,可以禁止你的電腦接 收Internet上的任何東西。當第一個請求建立連接的包被你的電腦回應后,一個“TCP/IP端口”被打開;端口掃描時,對方計算機不斷和本地計算機 建立連接,并逐漸打開各個服務所對應的“TCP/IP端口”及閑置端口。防火墻經過自帶的攔截規則判斷,就能夠知道對方是否正進行端口掃描,并攔截掉對方 發送過來的所有掃描需要的數據包。
現在市面上幾乎所有網絡防火墻都能夠抵御端口掃描,在默認安裝后,應該檢查一些防火墻所攔截的端口掃描規則是否被選中,否則它會放行端口掃描,而只是在日志中留下信息而已。
二、方法工具:
1、系統防火墻
現在很多的防火墻都有禁止ICMP的設置,而Windows XP SP2自帶的防火墻也包括該功能。啟用這項功能的設置非常簡單:執行“控制面板”→“Windows防火墻”,點擊“高級”選項卡,選擇系統中已經建立的 Internet連接方式(寬帶連接),點擊旁邊的“設置”按鈕打開“高級設置”窗口,點擊“ICMP”選項卡,確認沒有勾選“允許傳入的回顯請求”,最 后點擊“確定”即可。(圖2)
 |
| 圖2 |
另外,通過其他專業的防火墻軟件不但可以攔截來自局域網的各種掃描入侵,從軟件的日志中,我們還可以查看到數據包的來源和入侵方式等。
2、第三方防火墻
在企業局域網中部署第三方的防火墻,這些防火墻都自帶了一些默認的“規則”,可以非常方便地應用或者取消應用這些規則。當然也可以根據具體需要創建相應的防火墻規則,這樣可以比較有效地阻止攻擊者的惡意掃描。
比如以天網防火墻為例:首先運行天網防火墻,點擊操作界面中的“IP規則管理”按鈕,彈出“自定義IP規則”窗口,去掉“允許局域網的機器用 ping命令探測”選項,最后點擊“保存規則”按鈕進行保存即可。 例如創建一條防止Ineternet中的主機ping的規則,可以點擊“增加規則”按鈕,輸入如圖的相關參數就創建成功,然后勾選并保存該規則就可以防止 網絡中的主機惡意掃描局域網了。(圖3)
 |
| 圖3 |
三、蜜罐技術
蜜罐工具很多,其原理大同小異,它會虛擬一臺有“缺陷”的電腦,等著惡意攻擊者上鉤。在黑客看來被掃描的主機似乎打開了相應的端口,但是卻無法實施工具,從而保護了真正的主機,這也可以說是比較另類的防掃描手法。
例如,Defnet HoneyPot 2004,它是一個著名的“蜜罐”虛擬系統,通過Defnet HoneyPot虛擬出來的系統和真正的系統看起來沒有什么兩樣,但它是為惡意攻擊者布置的陷阱。只不過,這個陷阱欺騙惡意攻擊者,能夠記錄他都執行了那 些命令,進行了哪些操作,使用了哪些惡意攻擊工具。通過陷阱的記錄,可以了解攻擊者的習慣,掌握足夠的攻擊證據,甚至反擊攻擊者。利用該工具部署一個蜜罐 系統非常簡單,打開軟件,輸入相應的參數即可。然后它會隨機啟動,如果有惡意的掃描它都會記錄下來如圖。(圖4)
 |
| 圖4 |
總結:
防掃描,是防網絡攻擊、網絡入侵的第一步。不管是個人電腦還是企業環境下,預防來自Internet或者內網的惡意掃描是非常重要的,至少可以杜絕來自一般入侵者的騷擾,而這也是網絡入侵的大多數。
