【IT168 专稿】现在网络上有众多的安全工具可以实现扫描一个范围的端口和IP地址。不过,一个入侵监测系统(IDS)一般将能够捕获这种明显的扫描行为,然后它可以通过阻挡源IP地址来实现关闭这个扫描,或者自动向安全管理员告警:一个针对开放端口进行的大范围快速扫描产生了多条日志条目!
图1、扫描行为是黑客攻击的前奏
但是,多数认真的攻击者一般不会通过执行这种扫描来暴露自己的意图。相反,他们将会放慢速度,使用半连接(half-connection)尝试来找出你的可用资源。
不幸的是,尽管这种慢速的攻击方法非常耗时,它实现起来却不困难,更重要的是我们很难防范它。这就是为什么你需要了解这种类型攻击活动的原因,所谓知己知彼百战不殆,首先你需要让自己熟悉攻击者使用的工具,并且要了解这种慢速扫描实现起来是多么简单。
