@烟雨
3年前 提问
1个回答

防火墙一般需要检测哪些扫描行为

Andrew
2年前

防火墙一般需要检测以下这些扫描行为:

  • PortScan端口扫描:端口扫描,顾名思义,就是逐个对一段端口或指定的端口进行扫描。通过扫描结果可以知道一台计算机上都提供了哪些服务,然后就可以通过所提供的这些服务的己知漏洞就可进行攻击。其原理是当一个主机向远端一个服务器的某一个端口提出建立一个连接的请求,如果对方有此项服务,就会应答,如果对方未安装此项服务时,即使你向相应的端口发出请求,对方仍无应答,利用这个原理,如果对所有熟知端口或自己选定的某个范围内的熟知端口分别建立连接,并记录下远端服务器所给予的应答,通过查看一记录就可以知道目标服务器上都安装了哪些服务,这就是端口扫描,通过端口扫描,就可以搜集到很多关于目标主机的各种很有参考价值的信息。

  • ICMPScan:ICMP(Internet Control Message Protocal,因特网控制报文协议)工作在OSI上网络层,向数据通信中的源主机报告错误。ICMP就是一个“错误的侦测与回报机制”,目的是为了能够检测网络的连续状况,也能够确保连续的准确性。通过实施ICMP Ping扫描,可以发现目标主机是否活动。标准的ICMP扫描是向目标主机发送ICMP Echo Request数据包,来探测目标主机是否在线,如果目标主机回复ICMP Echo Reply则表示目标主机在线。常用的发送ICMP Echo Request数据包的工具是ping,也可以使用fping来发送。

  • UDPScan:UDP扫描方式用于判断UDP端口的情况。向目标主机的UDP端口发送探测包,如果收到回复“ICMP port unreachable”就说明该端口是关闭的;如果没有收到回复,那说明UDP端口可能是开放的或屏蔽的。因此,通过反向排除法的方式来断定哪些UDP端口是可能出于开放状态。总的来说也是一种端口扫描方法。