端口扫描攻击检测及防御方案

端口扫描数据一旦落入坏人之手,可能会成为更大规模恶意活动的一部分。因此,了解如何检测和防御端口扫描攻击至关重要。

端口扫描用于确定网络上的端口是否开放以接收来自其他设备的数据包,这有助于网络安全团队加强防御。但恶意行为者也可以利用这一过程来寻找易受攻击的端口。

在深入研究什么是端口扫描攻击以及如何预防和阻止它们之前,让我们先看看什么是端口和端口扫描。

什么是端口?

端口是一个通信端点,数据单元(称为数据包)通过它流动。传输层协议使用端口号码进行通信和交换数据包。最著名的传输层协议是传输控制协议(TCP)和用户数据报协议(UDP),前者是一种面向连接的协议,在发送数据之前需要建立连接;后者是一种无连接协议,不需要建立双向连接即可开始通信。

TCP和UDP使用的每个端口都与一个特定的进程或服务相关联。端口的取值范围是0 ~ 65535,在网络连接的设备之间是标准化的。端口0在TCP/IP网络中是保留的,不应该在TCP或UDP消息中使用。端口1到1023是众所周知的端点,用作Internet协议的默认值,由互联网数字分配机构(IANA)定义。

端口1024 ~ 29151是为在IANA注册的端口预留的号码,用于关联特定协议。49152 ~ 65535范围内的端口是临时端口,用于动态连接。

一些最常用的端口包括:

  • 用于HTTP协议的TCP 80端口和UDP 80端口;
  • 用于HTTPS协议的TCP 443端口和UDP 443端口;
  • 用于邮件服务器(如SMTPTCP)的TCP 465端口;
  • 用于DNS的TCP 53端口和UDP 53端口。
端口扫描及其用途

端口扫描是由某人发送的一系列消息,以了解给定计算机提供的计算机网络服务。

端口扫描器是识别连接互联网的设备上哪些端口和服务打开或关闭的应用程序。端口扫描器可以在所有65,536个端口上向目标计算机发送连接请求,并记录哪些端口响应以及如何响应。从端口接收到的响应类型表明它们是否在使用中。

企业防火墙一般以以下三种方式响应端口扫描:

  • 打开。如果一个端口是打开的,或者正在监听,它就会响应请求。
  • 关闭。一个关闭的端口会用一条消息进行响应,表明它收到了“打开”的请求,但拒绝了它。这样,当一个真正的系统发送一个“打开”的请求时,它知道请求已被接收,但无需不断重试。然而,这个响应也揭示了在被扫描的IP地址后面存在一台计算机。
  • 没有响应,也称为过滤或丢弃,这既不涉及确认请求也不发送回复。没有响应向端口扫描器表明防火墙可能过滤了请求数据包,端口被阻塞或没有端口。例如,如果端口被阻塞或处于隐身模式,则防火墙不会响应端口扫描程序。有趣的是,被封锁的端口违反了TCP/IP行为规则,因此,防火墙必须抑制计算机关闭端口的回复。安全团队甚至可能发现公司防火墙并没有封锁所有的网络端口。例如,如果标识协议(Identification Protocol)使用的113端口被完全阻塞,那么与某些远程Internet服务器(如internet Relay Chat)的连接可能会被延迟或完全拒绝。由于这个原因,许多防火墙规则将端口113设置为关闭,而不是完全阻止它。

端口扫描的一般目标是绘制出系统的操作系统及其运行的应用程序和服务,以便了解其保护措施及可能存在的潜在漏洞。

端口扫描的类型

由于TCP和UDP是最常用的传输层协议,因此它们经常用于端口扫描。

根据设计,TCP发送一个确认(ACK)数据包,让发送方知道是否收到了数据包。如果接收不到信息、被拒绝或接收错误,则发送一个否定ACK(negative ACK)报文。另一方面,UDP在接收数据包时不发送ACK;如果没有收到信息,它只会响应“ICMP(Internet控制消息协议)端口不可达”消息。

具体来说,主要存在以下几种类型的端口扫描技术:

  • Ping扫描或Sweep扫描,扫描几台计算机上的相同端口,以查看它们是否处于活动状态。这包括发送ICMP回显请求,以查看哪些计算机响应。
  • TCP SYN扫描或TCP半开放扫描,是最常见的端口扫描类型之一。它通过发送TCP同步报文来发起通信,但不完成连接。
  • TCP连接(也称为全连接扫描)类似于TCP SYN扫描,因为它发送TCP SYN包来启动通信,但这种扫描通过发送ACK来完成连接。
  • 频闪(Strobe)扫描是尝试只连接到选定的端口,通常少于20个。
  • UDP扫描查找打开的UDP端口。
  • 在FTP bounce扫描中,FTP服务器被用来扫描其他主机。通过FTP服务器进行的扫描尝试会伪装端口扫描器的源地址。
  • 在分段扫描(fragmented scan)中,TCP标头被分成几个包,以防止被防火墙发现。
  • 隐形扫描(Stealth scans)包括多种扫描技术,试图阻止连接请求被记录。
什么是端口扫描攻击?

端口扫描并不一定意味着网络攻击。了解为什么要收集端口扫描信息以及这些信息的用途非常重要。

作为侦察过程的一部分,端口扫描是恶意行为者常用的一种信息收集方法。攻击者可以使用通过端口扫描收集的数据来查找设备正在运行的服务,并了解正在使用的操作系统。然后,这些数据可以帮助攻击者标记易受攻击的系统,意图利用它们获得对网络的访问权限。

安全团队和渗透测试人员还使用端口扫描数据来识别漏洞、网络上可能需要注意的新设备、潜在的错误配置和安全覆盖中的其他缺口,以加强防御。

当路由器报告多次暴力探测的周期性事件时,它会记录来自端口扫描器的端口请求。这可能是恶意的,也可能不是,因为大多数面向互联网的系统每天都会被扫描。

端口扫描的做法与互联网一样古老。虽然协议随着时间的推移而变化,安全工具和系统也随着时间的推移而发展,但检测和处理端口扫描警报仍然很重要,特别是当未经授权的恶意行为者扫描自己的系统时。

如何检测端口扫描攻击?

端口扫描攻击需要在检测到端口扫描攻击后才能阻止。如果正确安装和配置,现代安全设备可以通过跟踪访问本地网络中的系统的尝试来有效地检测端口扫描。

大多数安全设备都可以链接来自同一源的正在进行的重复扫描尝试,无论它们针对的是单个主机还是多个主机。为了实现效率最大化,端口扫描攻击可能需要在相对较短的时间内探测许多不同系统上的许多不同端口,这使得攻击尝试更容易被检测到。

为了逃避检测,一些攻击者可能会在较长的时间范围内探测开放端口,在这种情况下,检测端口扫描攻击会变得更加困难。然而,对攻击者来说,这样做的缺点是可能需要数小时、数天甚至更长时间才能找到一个易受攻击的系统。

如何防止网络中的端口扫描?

防止端口扫描是不可能的。任何人都可以选择一个IP地址并扫描它的开放端口。

为了保护企业网络,安全团队应该自行开展内部扫描,以找出攻击者在其网络的端口扫描期间会发现什么。但是,请注意,针对许多云托管服务(如AWS)的安全评估和渗透测试需要在扫描之前获得批准。

一旦安全管理员发现哪些端口响应为打开,他们就可以进一步检查这些端口是否有必要从公司网络外部访问。如果没有必要,安全管理员应该关闭或阻止它们。如果认为开放端口是必要的,管理员应该开始研究网络中存在哪些开放的漏洞,并应用适当的补丁来保护网络。

某些类型的防火墙拥有自适应行为,这意味着如果可疑的IP地址正在探测它们,它们会自动阻止先前打开和关闭的端口。防火墙还可以配置为在管理员检测到来自单个主机的多个端口的连接请求时向管理员发出警报。然而,攻击者可以通过在频闪或隐身模式下进行端口扫描来绕过这种保护机制。

总之,组织可以通过始终配置防火墙和入侵检测系统,来检测并阻止不寻常的连接尝试和请求。例如,在端口扫描完成后,攻击者可能会发起一些探测攻击,以验证先前的研究结果或获取所需的额外信息,以巧妙地发动主攻。此外,将异常活动输入SIEM系统可以提供实时反馈并改进对事件的自动响应。

如果没有调整端口防护策略的技术怎么办?

调整端口策略防护,对维护人员的技术是一种考验,在调整的过程中肯定是会影响到端口正常访问,所以是需要寻找到其他更合适的防护方案。

DDoS高防IP的防护服务是以省骨干网的DDoS防护网络为基础,结合德迅自研的攻击检测和智能防护体系,向您提供可管理的DDoS防护服务,端口精准过滤拦截,自动快速的缓解网络攻击对业务造成的延迟增加,访问受限,业务中断等影响,从而减少业务损失,降低潜在攻击风险。

自定义清洗策略

支持从结果、交互,时间,地域等维度对流量进行画像,从而构建数千种可自定义拦截策略,同时防御不同业务、不同类型的CC攻击。

指纹识别拦截

指纹识别可以根据报文的特定内容生成独有的指纹,并以此为依据进行流量的合法性判断,达到精准拦截的恶意流量的目的。

四层CC防护

德迅引擎可以根据用户的连接、频率、行为等特征,实时分析请求,智能识别攻击,实现秒级拦截,保障业务的稳定运行。

支持多协议转发

支持TCP、HTTP、HTTPS、WebSocket等协议,并能够很好地维持业务中的长连接。适配多种业务场景,并隐藏服务器真实 IP。

丰富的攻击详情报表

秒级的即时报表,实时展示业务的访问情况、流量转发情况和攻击防御情况,监控业务的整体安全状况,并动态调整防御策略,达到最佳的防护效果。

源站保护

通过反向代理接入防护服务,隐藏真实源站服务器地址,将清洗后的干净业务流量回送到源机

a0bea9c1d745edc6170d0ac51c415f8f_710f9b738e524f2f8de6bda15ac7663a.jpeg

DDoS高防IP防护可有效解决市面上常见的端口攻击、DDoS攻击。

近年来,随着网络攻击的威胁和影响不断变化,端口攻击变得越来越复杂。尽管容量攻击完全相同,但是针对特定应用程序的攻击和针对性的高强度攻击的数量有所增加。

防护软件解决方案旨在消除这些攻击的停机时间并增强网站可用性,以保持企业的生产力和效率。面向小型、中型和大型企业的内部部署、云计算和混合软件解决方案是未来的发展方向。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/37393.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

zabbix-server的搭建

zabbix-server的搭建 部署 zabbix 服务端(192.168.99.180) rpm -ivh https://mirrors.aliyun.com/zabbix/zabbix/5.0/rhel/7/x86_64/zabbix-release-5.0-1.el7.noarch.rpm cd /etc/yum.repos.d sed -i s#http://repo.zabbix.com#https://mirrors.aliyun.com/zabbix# zabbix.r…

实验八 T_SQL编程

题目 以电子商务系统数据库ecommerce为例 1、在ecommerce数据库,针对会员表member首先创建一个“呼和浩特地区”会员的视图view_hohhot,然后通过该视图查询来自“呼和浩特”地区的会员信息,用批处理命令语句将问题进行分割,并分…

【方案+源码】srm供应商招投标管理系统建设方案及源码实现

SRM供应商管理系统功能建设涵盖: 供应商管理:整合供应商信息,实现全生命周期管理。 采购需求管理:精准把握采购需求,优化采购计划。 采购寻源管理:智能寻源,匹配最佳供应商。 采购合同管理&…

spring和springboot的关系是什么?

大家好,我是网创有方的站长,今天给大家分享下spring和springboot的关系是什么? Spring和Spring Boot之间的关系可以归纳为以下几个方面: 技术基础和核心特性: Spring:是一个广泛应用的开源Java框架&#…

计算机类主题会议推荐之——AIIIP 2024

【ACM出版 |IEEE&ACM院士、CCF杰出会员担任组委| 往届会后4个月检索 】 第三届人工智能与智能信息处理国际学术会议(AIIIP 2024) 2024 3rd International Conference on Artificial Intelligence and Intelligent Information Processing 中国-天…

uniapp部署服务器,uniapp打包H5部署服务器,uniapp将config.js抽离

目录 步骤一.在static文件夹下新建config.js文件 config.js文件说明 在config.js中放入使用的请求的接口地址,资源路径等 congfig.js中的变量在页面中如何使用 步骤二.manifest.json配置 1.在项目根目录(与app.vue同级)创建template.h5.html文件 2.在manifest.json配置刚刚创…

全面体验ONLYOFFICE 8.1版本桌面编辑器

ONLYOFFICE官网 在当今的数字化办公环境中,选择合适的文档处理工具对于提升工作效率和团队协作至关重要。ONLYOFFICE 8.1版本桌面编辑器,作为一款集成了多项先进功能的办公软件,为用户提供了全新的办公体验。今天,我们将深入探索…

如何成为-10x工程师:反向教学大数据开发实际工作中应如何做

10x 工程师可能是神话,但 -10x 工程师确实存在。要成为 -10x 工程师,只需每周浪费 400 小时的工程时间。结合以下策略: 目录 如何使 10 名工程师的输出无效化改变需求大数据开发示例 创建 400 小时的繁忙工作任务示例大数据开发示例 创建 400…

WPF UI交互专题 界面结构化处理 查看分析工具Snoopy 逻辑树与视觉树 平面图像 平面图形 几何图形 弧线 01

1、开发学习环境 2、XAML界面结构化处理 3、逻辑树与视觉树 4、基于XAML的标签扩展方式 5、基础控件应用分析 6、控件常用属性与事件总结 7、常用控件特别属性说明 8、平面图形控件与属性 9、平面几何图形 10、弧线的处理过程 WPF项目-XAML 项目表现形式 项目结…

Sectigo或RapidSSL DV通配符SSL证书哪个性价比更高?

在当前的网络安全领域,选择一款合适的SSL证书对于保护网站和用户数据至关重要。Sectigo和RapidSSL作为市场上知名的SSL证书提供商,以其高性价比和快速的服务响应而受到市场的青睐。本文将对Sectigo和RapidSSL DV通配符证书进行深入对比,帮助用…

Firefox 编译指南2024 Windows10- 定制化您的Firefox(四)

1. 引言 定制化您的Firefox浏览器是一个充满乐趣且富有成就感的过程。在2024年,Mozilla进一步增强了Firefox的灵活性和可定制性,使得开发者和高级用户能够更深入地改造和优化浏览器以满足个人需求。从界面的微调到功能的增强,甚至是核心代码…

我在高职教STM32——GPIO入门之按键输入(2)

大家好,我是老耿,高职青椒一枚,一直从事单片机、嵌入式、物联网等课程的教学。对于高职的学生层次,同行应该都懂的,老师在课堂上教学几乎是没什么成就感的。正因如此,才有了借助 CSDN 平台寻求认同感和成就…

240628_昇思学习打卡-Day10-SSD目标检测

240628_昇思学习打卡-Day10-SSD目标检测 今天我们来看SSD(Single Shot MultiBox Detector)算法,SSD是发布于2016年的一种目标检测算法,使用的是one-stage目标检测网络,意思就是说它只需要一步,就能把目标检…

【C++题解】1466. 等差数

问题:1466. 等差数 类型:简单循环 题目描述: Peter 同学刚刚在学校学习了等差数列的概念。 等差数列,指的是一组数,这些数连续 2 个数的差值是相等的,比如:123,135,852…

SerDes介绍以及原语使用介绍(2)OSERDESE2原语仿真

文章目录 前言一、SDR模式1.1、设计代码1.2、testbench代码1.3、仿真分析 二、DDR模式下2.1、设计代码2.2、testbench代码2.3、仿真分析 三、OSERDES2级联3.1、设计代码3.2、testbench代码3.3、代码分析 前言 上文通过xilinx ug471手册对OSERDESE有了简单的了解,接…

[物联网专题] - 螺钉式接线端子的选择和辨识

工业设备上大量使用各式各样的端子来连接外部设备和电缆电线,其中用得最多的就是标准的螺钉式端子,其外形如下: 标准端子一般是2位(2个接线端子),端子与端子之间可以级联,组成任意数量的位数。…

【前端】简易化看板

【前端】简易化看板 项目简介 看板分为三个模块,分别是待办,正在做,已做完三个部分。每个事件采取"卡片"式设计,支持任务间拖拽,删除等操作。 代码 import React, { useState } from react; import { Car…

【图论 树 深度优先搜索】2246. 相邻字符不同的最长路径

本文涉及知识点 图论 树 图论知识汇总 深度优先搜索汇总 LeetCode 2246. 相邻字符不同的最长路径 给你一棵 树(即一个连通、无向、无环图),根节点是节点 0 ,这棵树由编号从 0 到 n - 1 的 n 个节点组成。用下标从 0 开始、长度…

【漏洞复现】SolarWinds——任意文件读取

声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。 文章目录 漏洞描述漏洞复现测试工具 漏洞描述 SolarWinds其Serv-UFTP服务存在目录遍历导致任意文件读取漏洞&a…

自然语言处理(NLP)—— 深度学习

1. 词嵌入(Embeddings) 1.1 词嵌入的基本概念 词嵌入(Embeddings)是一种将词语映射到高维空间(比如N300维)的技术,使得词语之间的欧几里得距离与它们的语义距离相关联。这意味着在这个向量空间…