知己知彼 全面剖析慢速掃描攻擊

來源:本站原創 安全技術 超過947 views圍觀 0條評論

現在網絡上有眾多的安全工具可以實現掃描一個范圍的端口和IP地址。不過,一個入侵監測系統(IDS)一般將能夠捕獲這種明顯的掃描行為,然后它可以通過阻擋源IP地址來實現關閉這個掃描,或者自動向安全管理員告警:一個針對開放端口進行的大范圍快速掃描產生了多條日志條目!

 

圖1、掃描行為是黑客攻擊的前奏

但是,多數認真的攻擊者一般不會通過執行這種掃描來暴露自己的意圖。相反,他們將會放慢速度,使用半連接(half-connection)嘗試來找出你的可用資源。
不幸的是,盡管這種慢速的攻擊方法非常耗時,它實現起來卻不困難,更重要的是我們很難防范它。這就是為什么你需要了解這種類型攻擊活動的原因,所謂知己知彼百戰不殆,首先你需要讓自己熟悉攻擊者使用的工具,并且要了解這種慢速掃描實現起來是多么簡單。
了解攻擊者經常使用的工具
在網絡上有幾種免費的端口掃描器可供任何人使用,讓我們看一下其中最為流行的四個:
1、端口掃描之王-Nmap
Nmap(Network Mapper,網絡映射器)安全掃描器目前已經升級到了第四版。這個軟件工具提供了廣泛的端口掃描技術,旨在快速掃描大小規模的網絡,進行網絡探查和安全檢查。這個具有多種功能的工具能夠確定網絡上有什么主機,這些主機提供什么服務,正在使用的是什么類型的數據包過濾器和防火墻。這個工具還能夠遠程識別一臺機器的操作系統。這個工具軟件支持大多數Unix和Windows平臺,還支持Mac OS X和若干種掌上設備。

 

圖2、端口掃描之王Nmap

這個軟件有命令行和圖形用戶界面兩種模式,不熟悉命令提示符的用戶也可以輕松使用。
另外,Nmap是一種人們喜愛的黑客工具。它可以被黑客利用來對目標機器或目標網絡進行端口掃描,以發現可以利用的漏洞信息。例如,一臺Windows計算機能夠使用數百個端口與其它的機器進行通信,每一個端口都是攻擊者進入你的網絡的潛在的途徑。
在電影《黑客帝國2:重裝上陣》中使用了這個軟件的功能,此外,美國總統布什視察國家安全局的照片上也出現了這個軟件。

2、高速外國掃描器-Angry IP Scanner
Angry IP Scanner是一個相當小的IP掃描軟件,不過雖然它的體積小,但功能確一點也不小,可以在最短的時間內掃描遠端主機IP的運作狀況,并且快速的將結果整理完回報給您知曉。Angry IP Scanner可以掃描的項目也不少,包括了遠端主機的名稱、目前開啟的通信端口以及IP的運作狀況等,讓您可以完全掌握對方主機的運作狀況。Angry IP Scanner可以允許您掃描的范圍相當大,只要您不嫌花費的時間比較長,還可以從1.1.1.1一直掃到255.255.255.255,AngryIP Scanner會為您詳實的去Ping每個IP,并且將狀況回報給您。

 

圖3、Angry IP Scanner

 3、另類端口掃描器-Unicornscan
Unicornscan是一款通過嘗試連接用戶系統(User-land)分布式TCP/IP堆棧獲得信息和關聯關系的端口掃描器。它試圖為研究人員提供一種可以刺激TCP/IP設備和網絡并度量反饋的超級接口。它主要功能包括帶有所有TCP變種標記的異步無狀態TCP掃描、異步無狀態TCP標志捕獲、通過分析反饋信息獲取主動/被動遠程操作系統、應用程序、組件信息。它和Scanrand一樣都是另類掃描器。

 

圖4、Unicornscan

4、網絡工具中的瑞士軍刀-Netcat
netcat工具小巧玲瓏,被譽為網絡安全界的‘瑞士軍刀’,相信很多人對它一定不陌生。它是一個簡單但實用的工具,通過使用TCP或UDP協議的網絡連接去讀寫數據。它被設計成一個穩定的后門工具,能夠直接由其它程序和腳本輕松驅動。同時,它也是一個功能強大的網絡調試和探測工具,能夠建立你需要的幾乎所有類型的網絡連接。

 

圖5、Netcat

下文我們將以它為例介紹如何實現慢速掃描。
以上提到的只是攻擊者可以免費從網絡上找到的工具的一部分,并不是讓他們可以繞開入侵檢測系統的檢測進行掃描的全部掃描器。現在,讓我們以Netcat工具為例,來看一下攻擊者如何躲開入侵檢測系統來進行網絡掃描。
 了解慢速掃描實現過程
以下是Netcat的命令的語法:
nc [-options] hostname port[s] [ports]
Netcat提供了以下命令行參數可以被人們使用來悄悄的瀏覽一個網絡:
。-i:端口掃描的延時間隔秒數
。-r:隨機端口發現
。-v:顯示連接詳細信息
。-z:發送最小量數據來獲得來自一個開放端口的回復
以下是使用這個工具掃描一個特定網絡服務器的例子:
nc -v -z -r -i 31 123.321.123.321 20-443
這個命令告訴掃描工具完成以下任務:
1、掃描IP地址123.321.123.321.
2、掃描20到443的TCP端口。
3、對端口掃描隨機化進行。
4、不回應開放端口。
5、每隔31秒進行一次掃描嘗試。
6、記錄信息日志到終端界面
盡管一個入侵檢測系統可以記錄這些掃描嘗試,但是你認為它會標記這種類型的活動嗎?我想可能不會,因為它們是隨機的半嘗試,而且在每次探測之間有比較大的延時。那么你應該如何來針對這種類型的掃描進行防御呢?
 保衛你的網絡 找出慢速掃描攻擊
不幸的是,你只有兩個選擇來防護這種慢速掃描攻擊:購買昂貴的相關防護工具,或者用你的肉眼來查看入侵檢測系統日志。如果你的預算不允許你購買新工具的話,以下是在你對日志進行詳細審查時可以使用的技巧:
。找出持續進行的入侵掃描
。特別注意后面緊跟一個UDP嘗試的TCP掃描情況
。如果你看到在一段時間內重復進行的掃描嘗試試圖探測你的網絡上的端口,跟蹤并查證這個活動到它的源地址,然后在你的外層安全邊界阻止它。
總結
最聰明的攻擊者總是會在你的檢測雷達監視下進入你的網絡,不要過分依賴自動提示來向你告警企業安全所面臨的全部危險。閱讀你的日志,然后得出你自己的于網絡活動狀態的結論。
讓那些自動化系統去對付那些腳本小子吧。把你的注意力集中在那些試圖通過慢速掃描入侵你的網絡的嘗試,然后把它們阻擋。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=395轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏