nmap扫描攻击的防护

　　在本节中将对被保护网络采用9种典型外部攻击技术(参见本书2.4.2节“黑客攻击行为分类方法”中的相关内容)进行模拟攻击测试，分析黑客入侵防范体系对这些模拟攻击行为做出的响应和防护效果，从而对体系的安全防护性能进行模拟分析。本文采用的分析方法是从这9种典型的攻击技术中，每类选取一种代表性的攻击工具对体系所保护的网络进行模拟攻击，分析体系的安全防护性能并给出相关描述，具体模拟分析结果描述如下。

　　9.2.1 nmap扫描攻击的防护

　　现在黑客网站上关于扫描类的攻击工具非常多，其中一个较为有名的、具有代表性的扫描攻击工具叫nmap(Network Mapper)，是Linux系统环境下的网络扫描和嗅探工具包，其基本功能有：

　　(1)探测一组主机是否在线。

　　(2)扫描主机端口，分析被扫描主机对外提供的网络服务。

　　(3)推断主机所使用的操作系统类型。扫描网络是黑客实施入侵攻击的前奏。通过使用扫描器(如nmap)扫描网络，寻找存在漏洞的目标主机。一旦发现了有漏洞的目标，就开始对目标实施进一步的攻击行动。

　　如图9-2所示，防范体系对nmap扫描攻击的防护过程如下所述：

　　图9-2 防范体系对nmap扫描攻击的防护效果示意图

　　黑客使用nmap软件通过Internet对被保护网络中的节点A进行扫描攻击。

　　该攻击行为首先被基于网络的IDS检测到，当IDS检测到nmap攻击行为的攻击信息后，立即向体系管理平台报告。

　　体系管理平台在收到IDS的报警信息后，根据nmap扫描攻击的性质和危险级别，管理平台会通知防火墙和陷阱机，将该攻击行为引入陷阱机，进行进一步观察和跟踪分析，同时，通知取证机进行取证记录。

　　陷阱机和防火墙合作，将攻击引入陷阱机。

　　陷阱机模仿节点A给黑客返回相关信息，诱骗攻击者进一步表现自己，进行记录分析，同时取证机进行取证。

　　陷阱机、防火墙和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

　　体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者IDS。

　　体系管理平台会及时将这次nmap攻击的相关信息通知安全管理员，由安全管理员根据具体情况进行处理，如调动安全事件响应队伍进行相关处理、对该地址进行封锁、警告或跟该主机的管理员取得联系。