1、掃描工具

攻擊者采用的掃描手段是很多的，可以使用Ping、網(wǎng)絡(luò)鄰居、SuperScan、NMAP、NC等命令和工具進行遠程計算機的掃描。其中 SuperScan的掃描速度非常快，而NMAP的掃描非常的專業(yè)，不但誤報很少，而且還可以掃描到很多的信息，包括系統(tǒng)漏洞、共享密碼、開啟服務(wù)等等。

2、防范原理

要針對這些掃描進行防范，首先要禁止ICMP的回應(yīng)，當(dāng)對方進行掃描的時候，由于無法得到ICMP的回應(yīng)，掃描器會誤認(rèn)為主機不存在，從而達到保護自己的目的。

一、防范措施

1、關(guān)閉端口

關(guān)閉閑置和有潛在危險的端口。這個方法比較被動，它的本質(zhì)是將除了用戶需要用到的正常計算機端口之外的其他端口都關(guān)閉掉。因為就黑客而言，所有 的端口都可能成為攻擊的目標(biāo)。可以說，計算機的所有對外通訊的端口都存在潛在的危險，而一些系統(tǒng)必要的通訊端口，如訪問網(wǎng)頁需要的HTTP(80端 口);QQ(4000端口)等不能被關(guān)閉。

在Windows NT核心系統(tǒng)(Windows 2000/XP/ 2003)中要關(guān)閉掉一些閑置端口是比較方便的，可以采用“定向關(guān)閉指定服務(wù)的端口”(黑名單)和“只開放允許端口的方式”(白名單)進行設(shè)置。計算機的 一些網(wǎng)絡(luò)服務(wù)會有系統(tǒng)分配默認(rèn)的端口，將一些閑置的服務(wù)關(guān)閉掉，其對應(yīng)的端口也會被關(guān)閉了。

進入“控制面板”→“管理工具”→“服務(wù)”項內(nèi)，關(guān)閉掉計算機的一些沒有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等)，它們對應(yīng)的端口也被停用了。至于“只開放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實現(xiàn)，設(shè)置的時候，“只允許” 系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。(圖1)

圖1

2、屏蔽端口

檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口。這種預(yù)防端口掃描的方式通過用戶自己手工是不可能完成的，或者說完成起來相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。

防火墻的工作原理是:首先檢查每個到達你的電腦的數(shù)據(jù)包，在這個包被你機上運行的任何軟件看到之前，防火墻有完全的否決權(quán)，可以禁止你的電腦接 收Internet上的任何東西。當(dāng)?shù)谝粋€請求建立連接的包被你的電腦回應(yīng)后，一個“TCP/IP端口”被打開;端口掃描時，對方計算機不斷和本地計算機 建立連接，并逐漸打開各個服務(wù)所對應(yīng)的“TCP/IP端口”及閑置端口。防火墻經(jīng)過自帶的攔截規(guī)則判斷，就能夠知道對方是否正進行端口掃描，并攔截掉對方 發(fā)送過來的所有掃描需要的數(shù)據(jù)包。

現(xiàn)在市面上幾乎所有網(wǎng)絡(luò)防火墻都能夠抵御端口掃描，在默認(rèn)安裝后，應(yīng)該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中，否則它會放行端口掃描，而只是在日志中留下信息而已。

二、方法工具：

1、系統(tǒng)防火墻

現(xiàn)在很多的防火墻都有禁止ICMP的設(shè)置，而Windows XP SP2自帶的防火墻也包括該功能。啟用這項功能的設(shè)置非常簡單：執(zhí)行“控制面板”→“Windows防火墻”，點擊“高級”選項卡，選擇系統(tǒng)中已經(jīng)建立的 Internet連接方式(寬帶連接)，點擊旁邊的“設(shè)置”按鈕打開“高級設(shè)置”窗口，點擊“ICMP”選項卡，確認(rèn)沒有勾選“允許傳入的回顯請求”，最 后點擊“確定”即可。(圖2)

圖2

另外，通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵，從軟件的日志中，我們還可以查看到數(shù)據(jù)包的來源和入侵方式等。

2、第三方防火墻

在企業(yè)局域網(wǎng)中部署第三方的防火墻，這些防火墻都自帶了一些默認(rèn)的“規(guī)則”，可以非常方便地應(yīng)用或者取消應(yīng)用這些規(guī)則。當(dāng)然也可以根據(jù)具體需要創(chuàng)建相應(yīng)的防火墻規(guī)則，這樣可以比較有效地阻止攻擊者的惡意掃描。

比如以天網(wǎng)防火墻為例：首先運行天網(wǎng)防火墻，點擊操作界面中的“IP規(guī)則管理”按鈕，彈出“自定義IP規(guī)則”窗口，去掉“允許局域網(wǎng)的機器用 ping命令探測”選項，最后點擊“保存規(guī)則”按鈕進行保存即可。 例如創(chuàng)建一條防止Ineternet中的主機ping的規(guī)則，可以點擊“增加規(guī)則”按鈕，輸入如圖的相關(guān)參數(shù)就創(chuàng)建成功，然后勾選并保存該規(guī)則就可以防止 網(wǎng)絡(luò)中的主機惡意掃描局域網(wǎng)了。(圖3)

圖3

三、蜜罐技術(shù)

蜜罐工具很多，其原理大同小異，它會虛擬一臺有“缺陷”的電腦，等著惡意攻擊者上鉤。在黑客看來被掃描的主機似乎打開了相應(yīng)的端口，但是卻無法實施工具，從而保護了真正的主機，這也可以說是比較另類的防掃描手法。

例如，Defnet HoneyPot 2004，它是一個著名的“蜜罐”虛擬系統(tǒng)，通過Defnet HoneyPot虛擬出來的系統(tǒng)和真正的系統(tǒng)看起來沒有什么兩樣，但它是為惡意攻擊者布置的陷阱。只不過，這個陷阱欺騙惡意攻擊者，能夠記錄他都執(zhí)行了那 些命令，進行了哪些操作，使用了哪些惡意攻擊工具。通過陷阱的記錄，可以了解攻擊者的習(xí)慣，掌握足夠的攻擊證據(jù)，甚至反擊攻擊者。利用該工具部署一個蜜罐 系統(tǒng)非常簡單，打開軟件，輸入相應(yīng)的參數(shù)即可。然后它會隨機啟動，如果有惡意的掃描它都會記錄下來如圖。(圖4)

圖4

總結(jié)：

防掃描，是防網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵的第一步。不管是個人電腦還是企業(yè)環(huán)境下，預(yù)防來自Internet或者內(nèi)網(wǎng)的惡意掃描是非常重要的，至少可以杜絕來自一般入侵者的騷擾，而這也是網(wǎng)絡(luò)入侵的大多數(shù)。