并非網絡攻擊者使用的所有技術都是嚴格惡意的。端口掃描攻擊只是針對旨在保護網絡的常規安全技術的一個經典示例。
但這不足為奇。端口掃描一直是安全專業人員在其網絡中進行服務發現的一項關鍵技術.
近年來,端口掃描攻擊變得越來越危險-并不是因為技術發生了巨大變化,而是因為進出端口的數據包比以往任何時候都要多。
防御自動端口掃描攻擊并不只是具有適當的防火墻過濾器就行了。保護您免受惡意端口掃描的影響應該始于網絡可視化。
什么是端口掃描攻擊?
為了發起端口掃描攻擊,黑客利用Nmap之類的工具來對網絡上可用的主機進行分類。端口掃描將返回已識別端口的三種潛在分類之一:
通過這種方式映射端口可使攻擊者洞悉網絡的薄弱環節。每個開放的端口都表明潛在的漏洞系統很容易被攻擊者利用,從而在您的網絡中立足或發起拒絕服務活動。
常見建議是關閉或過濾未使用的端口。這樣,您就不必向黑客提供不必要的潛在訪問點。但是,開放端口對于您的關鍵任務,網絡連接的應用程序和系統至關重要。關閉每個端口很重要,因此了解攻擊者希望在掃描時找到哪個特定端口很關鍵。幾個的最流行的端口為黑客包括:
端口23:Telnet端口很少使用,因為它已過時。但是,如果您不小心將此端口保持打開狀態,則攻擊者可能會獲得對您的網絡的root訪問權限。
端口445:此端口也存在相同的Telnet問題,可用于在Windows主機上獲得遠程訪問。
端口110:如果此端口上的POP3服務受到攻擊,攻擊者可以訪問您企業中的電子郵件帳戶。
端口80和8080:由于這些端口分別控制前端系統和后端系統上的HTTP連接,因此,密碼泄露可以使攻擊者訪問幾乎所有公司數據。
無論攻擊者是針對這些特定的端口,還是只是在您的網絡上進行偵查,您都將面臨一個挑戰,即如何阻止端口掃描攻擊。隨著攻擊者變得越來越先進,這并不容易。但是,無論您如何看,網絡可見性都是抵御這種惡意活動的必要基礎。
通過網絡可視化方案應對端口掃描攻擊
在理想環境中,入侵檢測系統和防火墻將自動檢測惡意端口掃描。盡管他們可能會捕獲大量攻擊,但事實是,攻擊者越來越有能力繞過這些工具。通過混合端口掃描攻擊的頻率,順序和源地址,黑客可以找到網絡中的易受攻擊點,而不必擔心掃描被阻止。
為了增強安全工具提供的保護,您需要能夠主動發現網絡行為異常。在整個網絡上進行惡意端口掃描時,您應該能夠識別出站連接活動和入站流量模式中的異常。必須分析這些異常,以便您可以阻止端口掃描,即使攻擊者設法繞過了預先配置的安全工具也是如此。
但是,實現這種針對端口掃描攻擊的主動保護的唯一方法是創建一個普及的網絡可見性層。網絡TAP,網絡數據包代理和Bypass交換機的正確組合將確保始終將正確的流量傳遞到正確的工具。它是增加網絡智能的基礎,它將解鎖高級流量處理,以阻止端口掃描攻擊。
攻擊者已經利用了網絡復雜性,帶寬和網絡工具數量增加給安全團隊帶來的問題。由于要管理的流量如此之大,端口掃描攻擊可能會席卷整個裂縫,并為黑客提供入侵整個網絡所需的所有信息。
但是,如果您的可見性層配備了正確的網絡智能應用程序(如網絡流量分析(NTA)),則可以在攻擊者能夠完成其掃描之前解決異常行為。
真正的挑戰是確定如何構建適合您特定網絡需求的可見性層。我們自己的網絡可見性專家可以提供幫助。
如果您想了解像Niagara這樣的網絡可視化解決方案如何將您的可見性層轉變為有效的保護層并幫助您阻止數據包掃描攻擊,請立即與我們聯系。
恒景動態
