以太网中网络扫描的原理与检测

2 网络扫描检测

检测程序对指定数据库文件进行分析。当源地址连续相同的IP请求连接记录大于某一阀值时,则认为此地址的用户可能在扫描网络,这时将此地址上报给执行程序。执行程序通过对可疑IP地址某一时间段内的所有记录进行分析,来发现网络扫描。例如若发现可疑IP对其他主机进行了穷尽式的端口连接,则认为该IP地址用户在进行网络扫描。

但是隐蔽扫描的IP地址很可能是伪装的,且扫描时间也可能不连续,因此用上面的方法不一定能检测到隐蔽扫描。

网络扫描的目的是要发现网络中活动主机并找出其安全漏洞,因此服务与端口开放较多的重点保护主机是扫描者的重点对象。检测程序对指定数据库文件进行分析,比较受保护主机的请求连接和网络陷阱机与之相近IP地址的请求连接,如在某时间段内的非常用连接相近,则认为此地址的主机可能被扫描。将此地址上报给执行程序,执行程序对可疑主机IP地址某一时间段内的所有记录进行分析,如发现有穷尽式的端口连接,则认为该主机被网络扫描。

4 结束语

网络扫描是一把双刃剑。网络管理员通过网络扫描能检测网络中主机存在的漏洞,从而查漏补缺,使得网络运行更为安全可靠。然而现在网络扫描技术的发展,特别是黑客的积极参与使得网络扫描技术成为一种危害网络安全的行为。只有对网络扫描进行有效监控,才能更有效地保护网络,将网络优势发挥出来。