并非網(wǎng)絡(luò)攻擊者使用的所有技術(shù)都是嚴(yán)格惡意的�。端口掃描攻擊只是針對旨在保護(hù)網(wǎng)絡(luò)的常規(guī)安全技術(shù)的一個經(jīng)典示例�。
但這不足為奇�。端口掃描一直是安全專業(yè)人員在其網(wǎng)絡(luò)中進(jìn)行服務(wù)發(fā)現(xiàn)的一項關(guān)鍵技術(shù).
近年來�����,端口掃描攻擊變得越來越危險-并不是因為技術(shù)發(fā)生了巨大變化����,而是因為進(jìn)出端口的數(shù)據(jù)包比以往任何時候都要多。
防御自動端口掃描攻擊并不只是具有適當(dāng)?shù)姆阑饓^濾器就行了����。保護(hù)您免受惡意端口掃描的影響應(yīng)該始于網(wǎng)絡(luò)可視化。
什么是端口掃描攻擊��?
為了發(fā)起端口掃描攻擊��,黑客利用Nmap之類的工具來對網(wǎng)絡(luò)上可用的主機(jī)進(jìn)行分類���。端口掃描將返回已識別端口的三種潛在分類之一:
打開:目標(biāo)主機(jī)正在偵聽端口�,并且正在使用掃描中使用的服務(wù)���。
已關(guān)閉:接收到數(shù)據(jù)包請求,但服務(wù)未在端口上偵聽�����。
已過濾:已發(fā)送數(shù)據(jù)包請求,但沒有答復(fù)�,表明防火墻已過濾了請求數(shù)據(jù)包。
通過這種方式映射端口可使攻擊者洞悉網(wǎng)絡(luò)的薄弱環(huán)節(jié)�。每個開放的端口都表明潛在的漏洞系統(tǒng)很容易被攻擊者利用,從而在您的網(wǎng)絡(luò)中立足或發(fā)起拒絕服務(wù)活動���。
常見建議是關(guān)閉或過濾未使用的端口����。這樣�����,您就不必向黑客提供不必要的潛在訪問點��。但是��,開放端口對于您的關(guān)鍵任務(wù)�,網(wǎng)絡(luò)連接的應(yīng)用程序和系統(tǒng)至關(guān)重要。關(guān)閉每個端口很重要���,因此了解攻擊者希望在掃描時找到哪個特定端口很關(guān)鍵��。幾個的最流行的端口為黑客包括:
端口23:Telnet端口很少使用���,因為它已過時����。但是��,如果您不小心將此端口保持打開狀態(tài)��,則攻擊者可能會獲得對您的網(wǎng)絡(luò)的root訪問權(quán)限����。
端口445:此端口也存在相同的Telnet問題,可用于在Windows主機(jī)上獲得遠(yuǎn)程訪問��。
端口110:如果此端口上的POP3服務(wù)受到攻擊�����,攻擊者可以訪問您企業(yè)中的電子郵件帳戶�。
端口80和8080:由于這些端口分別控制前端系統(tǒng)和后端系統(tǒng)上的HTTP連接,因此���,密碼泄露可以使攻擊者訪問幾乎所有公司數(shù)據(jù)��。
無論攻擊者是針對這些特定的端口�,還是只是在您的網(wǎng)絡(luò)上進(jìn)行偵查����,您都將面臨一個挑戰(zhàn),即如何阻止端口掃描攻擊��。隨著攻擊者變得越來越先進(jìn)�,這并不容易。但是���,無論您如何看�����,網(wǎng)絡(luò)可見性都是抵御這種惡意活動的必要基礎(chǔ)�。
通過網(wǎng)絡(luò)可視化方案應(yīng)對端口掃描攻擊
在理想環(huán)境中�,入侵檢測系統(tǒng)和防火墻將自動檢測惡意端口掃描。盡管他們可能會捕獲大量攻擊����,但事實是,攻擊者越來越有能力繞過這些工具����。通過混合端口掃描攻擊的頻率�,順序和源地址��,黑客可以找到網(wǎng)絡(luò)中的易受攻擊點�����,而不必?fù)?dān)心掃描被阻止�。
為了增強(qiáng)安全工具提供的保護(hù),您需要能夠主動發(fā)現(xiàn)網(wǎng)絡(luò)行為異常��。在整個網(wǎng)絡(luò)上進(jìn)行惡意端口掃描時�,您應(yīng)該能夠識別出站連接活動和入站流量模式中的異常。必須分析這些異常����,以便您可以阻止端口掃描,即使攻擊者設(shè)法繞過了預(yù)先配置的安全工具也是如此�����。
但是�����,實現(xiàn)這種針對端口掃描攻擊的主動保護(hù)的唯一方法是創(chuàng)建一個普及的網(wǎng)絡(luò)可見性層。網(wǎng)絡(luò)TAP�,網(wǎng)絡(luò)數(shù)據(jù)包代理和Bypass交換機(jī)的正確組合將確保始終將正確的流量傳遞到正確的工具。它是增加網(wǎng)絡(luò)智能的基礎(chǔ)���,它將解鎖高級流量處理,以阻止端口掃描攻擊�����。
攻擊者已經(jīng)利用了網(wǎng)絡(luò)復(fù)雜性��,帶寬和網(wǎng)絡(luò)工具數(shù)量增加給安全團(tuán)隊帶來的問題����。由于要管理的流量如此之大,端口掃描攻擊可能會席卷整個裂縫����,并為黑客提供入侵整個網(wǎng)絡(luò)所需的所有信息。
但是��,如果您的可見性層配備了正確的網(wǎng)絡(luò)智能應(yīng)用程序(如網(wǎng)絡(luò)流量分析(NTA))�����,則可以在攻擊者能夠完成其掃描之前解決異常行為。
真正的挑戰(zhàn)是確定如何構(gòu)建適合您特定網(wǎng)絡(luò)需求的可見性層���。我們自己的網(wǎng)絡(luò)可見性專家可以提供幫助��。
如果您想了解像Niagara這樣的網(wǎng)絡(luò)可視化解決方案如何將您的可見性層轉(zhuǎn)變?yōu)橛行У谋Wo(hù)層并幫助您阻止數(shù)據(jù)包掃描攻擊�����,請立即與我們聯(lián)系���。
恒景動態(tài)
