@爆米花
2年前 提问
1个回答

如何禁止别人扫描web漏洞

delay
2年前

漏洞扫描是无法禁止的,可以通过以下办法来减少被扫描的风险:

关闭端口

关闭闲置和有潜在危险的端口。这个方法比较被动,它的本质是将除了用户需要用到的正常计算机端口之外的其他端口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。可以说,计算机的所有对外通讯的端口都存在潜在的危险。

检查各端口,有端口扫描的症状时,立即屏蔽该端口。这种预防端口扫描的方式通过用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络防火墙。

设置白名单和黑名单

假如你的网站不想被太多的人看到(比如只想被公司内部的人看到),你可以使用白名单的方式只允许你们公司的IP访问。假如是一个面向大众的网站,建议检测扫描你网站的IP,使用黑名单的方式禁掉这些IP。

建议服务器增加资源,防止被扫描导致瘫痪

即使防护做的再好,也免不了被扫描或者爬取。现在的爬虫技术能够轻松应对反爬虫机制,没有什么有效的方法能够完全禁止被爬取或者被扫描,只有增加服务器带宽来防止被恶意扫描时使服务暂停。

加装防火墙等安全设备

目前市面上有一些防火墙能够阻挡一些异常的扫描和爬取。

使用CDN作为外部服务的入口

公网服务仅允许来自CDN机房的ip进行访问。通过CDN分流扫描器的流量,同时利用CDN的云WAF拦截功能屏蔽扫描器的访问

对流量或者日志进行分析

目前大量的扫描器在扫描时存在特征(如使用特定的useragent或者字典生成数据包),可以通过对流量或者日志进行分析,鉴定和拦截特定的扫描器行为。

使用安全设备拦截

使用waf或ips等安全设备拦截攻击payload,阻断扫描的漏洞探测流量。