入侵者的每一次入侵幾乎都是從掃描開始的，掃描軟件首先會判斷遠程計算機是否存在，接著對存在的遠程計算機進行掃描，探測其開放的端口。入侵者通過掃描的結果可以確定目標主機打開的端口、服務、以及存在的各種漏洞等信息，然后實施攻擊，因此防掃描是非常重要的。

前置知識：

1、掃描工具

攻擊者采用的掃描手段是很多的，可以使用Ping、網(wǎng)絡鄰居、SuperScan、NMAP、NC等命令和工具進行遠程計算機的掃描。其中 SuperScan的掃描速度非?？欤鳱MAP的掃描非常的專業(yè)，不但誤報很少，而且還可以掃描到很多的信息，包括系統(tǒng)漏洞、共享密碼、開啟服務等等。

2、防范原理

要針對這些掃描進行防范，首先要禁止ICMP的回應，當對方進行掃描的時候，由于無法得到ICMP的回應，掃描器會誤認為主機不存在，從而達到保護自己的目的。

一、防范措施

1、關閉端口

關閉閑置和有潛在危險的端口。這個方法比較被動，它的本質是將除了用戶需要用到的正常計算機端口之外的其他端口都關閉掉。因為就黑客而言，所有 的端口都可能成為攻擊的目標。可以說，計算機的所有對外通訊的端口都存在潛在的危險，而一些系統(tǒng)必要的通訊端口，如訪問網(wǎng)頁需要的HTTP(80端 口);QQ(4000端口)等不能被關閉。

在Windows核心系統(tǒng)(Windows 2003/2008/2012等等)中要關閉掉一些閑置端口是比較方便的，可以采用“定向關閉指定服務的端口”(黑名單)和“只開放允許端口的方式”(白名單)進行設置。計算機的 一些網(wǎng)絡服務會有系統(tǒng)分配默認的端口，將一些閑置的服務關閉掉，其對應的端口也會被關閉了。

進入“控制面板”→“管理工具”→“服務”項內，關閉掉計算機的一些沒有使用的服務(如FTP服務、DNS服務、IIS Admin服務等等)，它們對應的端口也被停用了。至于“只開放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實現(xiàn)，設置的時候，“只允許” 系統(tǒng)的一些基本網(wǎng)絡通訊需要的端口即可。

2、屏蔽端口

檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口。這種預防端口掃描的方式通過用戶自己手工是不可能完成的，或者說完成起來相當困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡防火墻。

防火墻的工作原理是:首先檢查每個到達你的電腦的數(shù)據(jù)包，在這個包被你機上運行的任何軟件看到之前，防火墻有完全的否決權，可以禁止你的電腦接 收Internet上的任何東西。當?shù)谝粋€請求建立連接的包被你的電腦回應后，一個“TCP/IP端口”被打開;端口掃描時，對方計算機不斷和本地計算機 建立連接，并逐漸打開各個服務所對應的“TCP/IP端口”及閑置端口。防火墻經過自帶的攔截規(guī)則判斷，就能夠知道對方是否正進行端口掃描，并攔截掉對方 發(fā)送過來的所有掃描需要的數(shù)據(jù)包。

現(xiàn)在市面上幾乎所有網(wǎng)絡防火墻都能夠抵御端口掃描，在默認安裝后，應該檢查一些防火墻所攔截的端口掃描規(guī)則是否被選中，否則它會放行端口掃描，而只是在日志中留下信息而已。

二、方法工具：

1、系統(tǒng)防火墻

現(xiàn)在很多的防火墻都有禁止ICMP的設置，而Windows 2003/2008/2012等等自帶的系統(tǒng)防火墻也包括該功能。啟用這項功能的設置非常簡單：執(zhí)行“控制面板”→“Windows防火墻”，點擊“高級”選項卡，選擇系統(tǒng)中已經建立的 Internet連接方式(寬帶連接)，點擊旁邊的“設置”按鈕打開“高級設置”窗口，點擊“ICMP”選項卡，確認沒有勾選“允許傳入的回顯請求”，最 后點擊“確定”即可。

另外，通過其他專業(yè)的防火墻軟件不但可以攔截來自局域網(wǎng)的各種掃描入侵，從軟件的日志中，我們還可以查看到數(shù)據(jù)包的來源和入侵方式等。

2、第三方防火墻

在企業(yè)局域網(wǎng)中部署第三方的防火墻，這些防火墻都自帶了一些默認的“規(guī)則”，可以非常方便地應用或者取消應用這些規(guī)則。當然也可以根據(jù)具體需要創(chuàng)建相應的防火墻規(guī)則，這樣可以比較有效地阻止攻擊者的惡意掃描。

3、專業(yè)IDC

為何要選擇專業(yè)IDC的服務器，原因：1、不需要自己花費高昂的價格布置防火墻，IDC機房就布置了更加專業(yè)的防火墻。2、也不需要要找專門的防火墻技術進行維護，IDC機房就有專業(yè)的防入侵團隊和7*24小時提供專業(yè)維護。3、更加專業(yè)和完善的防入侵體系。

總結：防掃描，是防網(wǎng)絡攻擊、網(wǎng)絡入侵的第一步。不管是個人電腦還是企業(yè)環(huán)境下，預防來自Internet或者內網(wǎng)的惡意掃描是非常重要的，至少可以杜絕來自一般入侵者的騷擾，而這也是網(wǎng)絡入侵的大多數(shù)。德迅云安全近10年的專業(yè)IDC，有專業(yè)的網(wǎng)絡安全團隊維護，專業(yè)的防入侵模塊，讓您買的安心，用的放心。