入侵者对服务器的攻击几乎都是从对服务器的扫描开始的。请问能否从防扫描入手进行网络安全防护?应该怎么做? ——湖北省武汉市 李辉 Q博士: 的确,很多入侵服务器的行为都是从扫描服务器端口开始的。这些入侵者通常会利用一些工具,首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。 因此,做好系统的防扫描工作对于服务器的安全防护来说是非常重要的,是防止网络入侵事件发生的第一步。 攻击者可能使用Ping、网络邻居、SuperScan、NMAP、NC等命令和工具进行远程计算机的扫描。要针对这些扫描进行防范,首先要禁止ICMP的回应。当对方进行扫描的时候,由于无法得到ICMP的回应,扫描器会误认为主机不存在,从而达到保护自己的目的。 关闭端口 关闭闲置和有潜在危险的端口的方法比较被动,它的本质是将除用户需要用到的正常端口外的其他端口都关闭掉。因为所有端口都可能成为黑客发动攻击的目标,计算机的所有对外通讯的端口都存在潜在的危险。因此,减少开放端口的数量就会降低系统被入侵的风险。但是一些系统必要的通讯端口不能关闭,如访问网页需要的HTTP(80端口)和聊天用的QQ(4000端口)等。 在Windows版本的服务器系统中要关闭掉一些闲置端口是比较方便的,可采用定向关闭指定服务端口的方式(黑名单)和只开放允许端口的方式(白名单)。计算机的一些网络服务会给系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭。 依次操作“控制面板”→“管理工具”→“服务”等选项,就可以关闭计算机的一些没有使用的服务(如FTP服务、DNS服务和IIS Admin服务等),它们对应的端口也被停用了。 至于只开放允许端口的方式,可利用系统的TCP/IP筛选功能实现,设置的时候,只允许系统的一些基本网络通讯需要的端口即可。 屏蔽端口 检查各端口,有端口扫描的症状时,立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的,或者说完成起来是相当困难的,需要借助专用软件。这些软件就是我们常用的网络防火墙。 防火墙的工作原理是:首先检查每个到达你的电脑的数据包,在这个包被电脑上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个TCP/IP端口被打开;端口扫描时,对方计算机不断与本地计算机建立连接,并逐渐打开各个服务所对应的TCP/IP端口及闲置端口。防火墙经过自带的拦截规则判断,就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。 现在市面上几乎所有网络防火墙都能够抵御端口扫描。在默认安装后,应该检查一些防火墙所拦截的端口扫描规则是否被选中,否则它会放行端口扫描,而只是在日志中留下相关信息。 一个具有初、中级电脑水平的攻击者利用扫描器随意扫描,就能够完成一次入侵。服务器做好防扫描措施,就能够在很大程度上杜绝来自这些一般入侵者的骚扰,而这也是网络入侵的大多数。试想,服务器如果就被这样攻击,那就太窝囊了。 声明:凡注明CIO时代网(www.ciotimes.com)之作品(文字、图片、图表),转载请务必注明出处为CIO时代网(www.ciotimes.com),违者本网将依法追究责任。 (责任编辑:IT) |