反扫描技术的原理及应用

反扫描技术的原理及应用摘 要：在网络生活中，扫描是很多黑客攻击第一步。因此，我们要做的第一 步就是反扫描工作，拒绝黑客的攻击。本文简要地阐述了反扫描技术的原理、组成 部分以及实际应用，对最新反扫描技术的成果进行了简单的介绍。关键词：防火墙技术、入侵检测技术、审计技术、访问控制技术、信息欺骗 扫描是网上攻击者获取信息的最重要途径，是攻击开始的前奏。黑客常常利用 扫描技术进行信息的收集。因此，做好反扫描工作刻不容缓。当然，防范和发现扫 描需要靠多种技术综合才能做到。网络管理员或者个人用户为了阻止非正常的扫描 操作并防止网络攻击，增加系统安全性，研究了反扫描技术。一、反扫描技术的原理扫描技术一般可以分为主动扫描和被动扫描，它们都是需要在扫描过程中与受 害主机互通正常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探 测数据包，根据其回应判断扫描的结果。被动扫描是与受害主机建立正常的连接后， 发送属于正常范畴的数据包，并且被动扫描不会向受害主机发送大规模的探测数 据。 要想进行反扫描，其原理如下：1. 减少开放端口，做好系统防护。默认情况下，有很多不安全或没有什么用的端口是开启的。21 端口的 FTP 服务， 易被黑客通过匿名登录利用，建议如不架设FTP，就关闭。53端口 DNS服务，最易 遭到黑客攻击，建议如不提供域名解析服务，就关闭。135 端口远程过程调用，易 被“冲击波”病毒攻击，建议不定期关闭该端口。还有139、443、445、1080等端 口都存在易被黑客攻击的漏洞。因此，减少开放端口对于做好系统防护工作是十分 有必要的。2. 实时监测扫描，及时做好警告。我们每个人都应有安全意识，对计算机要定期进行全盘扫描，防止病毒入侵。 对于外来插入的移动存储介质，也应先扫描再打开。对于不确定是否安全的文件， 可以在沙箱中打开查看。在上网的过程中，防火墙及个人杀毒软件都要打开，进行 实时监测，谨防网络病毒。最好的办法是用虚拟机上网，可以大大减少网络病毒对 主机的危害。最后也是最重要的一点是，及时更新杀毒软件。因为病毒变异速度是 非常快的。杀毒软件的病毒资料库需要及时更新才能识别更多更新的病毒。3. 伪装知名端口，进行信息欺骗。譬如 Honeypot 这样的系统，它可以模拟一个易被黑客攻击的环境，提供给黑 客一个包含漏洞的系统作为攻击目标，误导攻击者。这种方法不仅能减少黑客对计 算机的攻击，还能收集黑客信息，研究攻击者的攻击方法和类型，以更好地开发防 攻击的软件，防止黑客的攻击。当然，开发这样完备的Honeypot系统不被黑客发 现它是假的，也是非常困难的。随着操作系统日益发展，Honeypot系统也需要不断 升级，以满足现如今的需要。二、反扫描技术的组成目前普遍认为反扫描技术包括了防火墙技术、入侵检测技术、审计技术、访问 控制技术以及信息欺骗等其他技术。审计技术和访问控制技术是信息安全领域最基 本也是最古老的防范技术，防火墙技术和入侵检测技术是现如今研究的热点。这两 类技术在反扫描领域中最重要的价值是实时发现，同时还具备一些简单的反击功 能，因此它们有着举足轻重的作用。它们构成了一个完整的网络安全防护体系，所 防范的内容包括各类扫描、攻击在内的全方位的网络破坏活动。1.防火墙技术首先，“防火墙”是保护计算机网络安全的最成熟、最早产品化的技术措施。 事实上，有些人把凡是能保护网络不受外部侵犯而采取的应对措施，都称作是防火 墙。其次，防火墙是一种访问控制技术，用于加强两个网络之间的访问控制。防火 墙在需要保护的内部网络与有攻击性的外部网络之间设置一道隔离墙，并要求所有 进出的数据流都应该通过它。其工作原理是：按照事先规定好的配置和规则，监测 并过滤所有从外部网络传来的信息和通向外部网络的信息，保护网络内部敏感数据 不被偷窃和破坏。最后，防火墙作为内部网络和外部网络之间的隔离设施，它是由一组能够提供 网络安全保障的硬件、软件构成的系统。一个防火墙系统可以是一个路由器、一台 主机或主机群或者软硬并用，放置在两个网络的边界上，也可能是一套纯软件产品， 安装在主机或网关中。防火墙系统决定了哪些内部服务可以被外界访问，外界哪些 人可以访问内部的哪些可以访问的服务，以及哪些外部访问可以被内部人员访问。 要使一个防火墙系统有效，所有来自和去往外部网的信息都必须经过防火墙，接受 防火墙的检查。防火墙示意图2部门子网2.入侵检测技术3入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行 识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是为保证 计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常 现象的技术，同时也是一种用于检测计算机网络中违反安全策略行为的技术。入侵 检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是 计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动 检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从 而最大程度地为企业网络提供安全。3. 审计技术安全审计技术主要负责对网络活动的各种日志记录信息进行分析和处理，并识 别各种已发生的和潜在的攻击活动，是一种事后处理的技术。它作为防火墙技术和 入侵检测技术的有效补充，是系统安全框架中的重要环节。与传统的入侵检测系统 相比，安全审计系统并没有实时性的要求，因此可以对大量的历史数据进行分析， 并且采用的分析方法也可以更加复杂和精细。一般来说，网络安全审计系统能够发 现的攻击种类大大高于入侵检测系统，而且误报率也没有入侵检测系统那样高。4. 访问控制技术访问控制是保护数据安全的一种重要途径，是网络安全防范和保护的主要策 略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要 的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控 制、目录级控制以及属性控制等多种手段。信息系统通过实施访问控制，可以限制 对关键资源的访问，防止非法用户的侵入或者因合法用户的不慎操作而造成破坏。5. 其他反扫描技术包括系统信息欺骗（如修改旗标）、数据包监听、端口监测、Honeypot与 Honeynet。三、反扫描技术的应用现在用户常用到的反扫描技术主要集中在防火墙技术的应用以及入侵检测技 术的应用上，这也是两类最有效的途径，尤其是防火墙技术。近年来，随着人们网 络安全意识的不断加强，硬件防火墙越来越受到企业的青睐，国内的防火墙技术也 在不断提高。1.防火墙技术的应用(1) 目前，国外比较流行的顶级杀毒软件主要有Bit Defender,来自罗马尼亚。 它提供二十四万的超大病毒库，具有强大的反病毒引擎以及互联网过滤技术。它可 以通过回答几个简单问题，方便进行安装，并支持在线升级。Kaspersky (卡巴斯 基)来源于俄罗斯，是世界上最优秀、最顶尖的网络杀毒软件，查杀病毒性能远远 高于同类产品。它具有超强的中心管理能力和杀毒能力，能真正实现带毒杀毒！并 且它提供所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻段、完全检验、 防火墙和E-mail通路F-Secure Anti-Virus来自Linux故乡芬兰，集合AVP、LIBRA、 ORION、DRACO四套杀毒引擎，其中一个就是卡巴斯基的杀毒内核，而且青出于蓝。 该软件采用分布式防火墙技术，对网络病毒尤其有效。5(2) 国内防火墙产业占比重比较大的有华为赛门铁克、思科、H3C、联想网御等。 国内硬件防火墙发展势头良好。硬件防火墙是通过硬件和软件的组合来达到隔离内 外部网络的目的；软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。 硬件防火墙的抗攻击能力比软件的高很多，首先因为是通过硬件实现的功能，所以 效率就高，其次因为它本身就是专门为了防火墙这一个任务设计的，内核针对性很 强。内置操作系统也跟软件防火墙的不一样。不像软件防火墙那样，哪怕用到的只 是防火墙，它依然还得装入很多不相干的模块；并且操作系统不是针对网络防护这 个任务优化设计的，运行起来效率和性能远远低于硬件防火墙。就好像你用深潜器 和潜水艇对比二者的下潜性能一样。因此，硬件防火墙比软件防火墙有更强大更持 久的生命力。其中，这里着重介绍一下关注度比较高的思科ASA5510-K8防火墙以 及华为赛门铁克USG2000系列防火墙。 思科ASA5500系列防火墙解决方案思科ASA5500系列防火墙解决方案为中小型企业提供了全面的网关安全和VPN 连接。凭借其集成的防火墙和Anti-X功能，Cisco ASA 5500系列能在威胁进入网 络和影响业务运营前，就在网关处将它们拦截在网络之外。这些服务也可扩展到远 程接入用户，提供一条威胁防御VPN连接。思科ASA5500系列解决方案提供了：可 广为部署的防火墙技术、市场领先的Anti-X功能(防病毒、防间谍软件、防垃圾 邮件、防泄密、针对Web接入、电子邮件以及文件传输的实时保护、URL过滤、电 子邮件内容过滤以及投资保护等)、威胁防御VPN,可以进行方便的部署及管理。 华为赛门铁克USG2000系列防火墙解决方案华为赛门铁克USG2000系列统一安全网关是华赛公司针对中小企业安全业务需 求，推出的新一代高性能中低端统一安全网关，USG2000系列采用华赛VRP软件平台，集防火墙、防DDoS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件 控制、无线局域网WiFi （802.11b、802.11g、802.11b/g混合模式）、3G接入、 L2TP/IPSEC/SSL/MPLS VPN等特性于一体，能为中小企业、大型企业分支机构网络、 以及网吧出口网关提供高性能的安全防护，能有效帮助用户提高安全防护能力，提 高办公效率，帮助企业提升工作效率，节省投资。111ii1F甲夬 H ASPFAiATOS/AJCL倉也*36于找3?肿笳迁线昕施匕艸沪ppi兩订泄f您.rL27P/GREIPSEQ3SLflMPtS5VPNif 方寒*SYM 1=1讼 4JDPFhi GMF Fl&xi -OHS Ftocd *SMU3?F*Landl*Firag0 Wi 叭 i 叫GfrfiPW建两诉 DDOSrLI/1 IPS1kJ严；Uiisimck2.入侵检测技术的应用国内比较有名的网络安全产品的提供商有启明星辰、天融信、联想网御等。其 中启明星辰的天阗入侵检测与管理系统（IDS ）以其强大的入侵检测性能备受关注。 天阗入侵检测与管理系统（IDS）是启明星辰自主研发的入侵检测类安全产品，其 主要作用是帮助用户量化、定位来自内外网络的威胁情况，提供有针对性的指导措 施和安全决策依据，并能够对网络安全整体水平进行效果评估，天阗入侵检测与管 理系统（IDS）采用了融合多种分析方法的新一代入侵检测技术，配合经过安全优 化的高性能硬件平台，坚持“全面检测、有效呈现”的产品核心价值取向，可以依 照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件和攻击行为， 实现对网络的“全面检测”，并通过实时的报警信息和多种格式报表，为用户提供 翔实、可操作的安全建议，帮助用户完善安全保障措施，确保将信息“有效呈现” 给用户。四、结束语现如今，反扫描技术还是存在着一定的漏洞。怎样才能使防火墙技术和入侵检 测技术等反扫描技术一体化也将是未来反扫描技术研究的方向。在反扫描技术中， 如何有效地利用好反扫描技术追踪到黑客IP，进而打击犯罪，避免更多的人受害也 是反扫描技术发展路上的重要课题。参考文献信息对抗与网络安全（第2版）.贺雪晨.北京.清华大学出版社,2010计算机网络安全技术.潘瑜. 科学出版社,20083 入侵检测技术. 唐正军李建华. 北京.清华大学出版社,20084 访问控制概论. 洪帆.华中科技大学出版社,20105 防火墙产业分析. 百度文库6 ZOL中关村网站