攻击者可以采取的端口扫描隐匿性策略有什么

攻击者可以采取的端口扫描隐匿性策略有以下这些：

• 调整扫描的次序：举例来看，攻击者需要扫描10.65.19.0/24网络的所有主机，如果攻击者依次扫描10.65.19.1、10.65.19.2、10.65.19.3，直到10.65.19.254，这种序列特征明显的扫描活动非常容易暴露。将要扫描的IP地址和端口的次序打乱，使扫描活动的随机性增强，有助于降低检测的概率。

• 减缓扫描速度：大部分扫描检测软件都采用划定时间窗口的形式，收集一段时间的通信数据进行分析，从中发现可能的扫描活动。减缓扫描速度可以避免扫描报文集中在短时间内大量出现，减弱了扫描的行为特征。如果要判定慢速扫描活动，必须分析相当长时间的网络通信数据，在正常连接中搜寻扫描行为，检测的难度非常大。

• 对数据包中一些字段进行随机化处理：传统扫描软件发出的扫描报文，报文首部的序号、确认号、源端口号或者标志位值通常是固定的，这种情况一般不会在正常的网络通信中出现，检测软件可以基于此发现扫描行为。在扫描报文首部的各个域中随机填入合理的数值，将使扫描活动的检测难度增加。

• 利用虚假的源地址：如果扫描报文的源地址信息是真实的，将使扫描者暴露。采用虚假的源地址可以规避这一问题。但是源地址通常不能随意修改，因为扫描主机必须接收对方的反馈来确定端口的工作状态。通常而言，被假冒的主机必须与扫描者的主机或者扫描者所控制的主机在拓扑上接近，扫描者可以通过网络嗅探等方法监视主机的数据通信，获取与扫描相关的反馈信息。

• 采用分布式的方法进行扫描：将扫描任务交由多台主机协同完成，扫描活动相应地被分散开来。例如，为了获得一台目标主机的端口开放情况，控制多台主机进行扫描，不同主机负责不同端口的检测，同时从时间上将各台主机的扫描活动间隔开来，如果每台扫描主机的活动都非常隐蔽，将使得发现扫描活动变得非常困难。