科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道提高警惕 让网络远离慢速扫描攻击(二)

提高警惕 让网络远离慢速扫描攻击(二)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为,然后它可以通过阻挡源IP地址来实现关闭这个扫描,或者自动向安全管理员告警:一个针对开放端口进行的大范围快速扫描产生了多条日志条目!

作者:论坛整理 来源:zdnet网络安全 2008年4月14日

关键字: 网络攻击

  • 评论
  • 分享微博
  • 分享邮件

了解慢速扫描实现过程
  以下是Netcat的命令的语法:

  nc [-options] hostname port[s] [ports]

  Netcat提供了以下命令行参数可以被人们使用来悄悄的浏览一个网络:

  ·-i:端口扫描的延时间隔秒数

  ·-r:随机端口发现

  ·-v:显示连接详细信息

  ·-z:发送最小量数据来获得来自一个开放端口的回复

  以下是使用这个工具扫描一个特定网络服务器的例子:

  nc -v -z -r -i 31 123.321.123.321 20-443

  这个命令告诉扫描工具完成以下任务:

  1、扫描IP地址123.321.123.321。

  2、扫描20到443的TCP端口。

  3、对端口扫描随机化进行。

  4、不回应开放端口。

  5、每隔31秒进行一次扫描尝试。

  6、记录信息日志到终端界面

  尽管一个入侵检测系统可以记录这些扫描尝试,但是你认为它会标记这种类型的活动吗?我想可能不会,因为它们是随机的半尝试,而且在每次探测之间有比较大的延时。那么你应该如何来针对这种类型的扫描进行防御呢?


保卫你的网络 找出慢速扫描攻击

  不幸的是,你只有两个选择来防护这种慢速扫描攻击:购买昂贵的相关防护工具,或者用你的肉眼来查看入侵检测系统日志。如果你的预算不允许你购买新工具的话,以下是在你对日志进行详细审查时可以使用的技巧:

  ·找出持续进行的入侵扫描

  ·特别注意后面紧跟一个UDP尝试的TCP扫描情况

  ·如果你看到在一段时间内重复进行的扫描尝试试图探测你的网络上的端口,跟踪并查证这个活动到它的源地址,然后在你的外层安全边界阻止它。

  总结

  最聪明的攻击者总是会在你的检测雷达监视下进入你的网络,不要过分依赖自动提示来向你告警企业安全所面临的全部危险。阅读你的日志,然后得出你自己的于网络活动状态的结论。

  让那些自动化系统去对付那些脚本小子吧。把你的注意力集中在那些试图通过慢速扫描入侵你的网络的尝试,然后把它们阻挡。


 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章