反扫描技术的原理及应用

admin管理员组

文章数量:1531902

2024年5月15日发(作者：)

反扫描技术的原理及应用

摘 要：在网络生活中，扫描是很多黑客攻击第一步。因此，我们要做的第一步就是反扫

描工作，拒绝黑客的攻击。本文简要地阐述了反扫描技术的原理、组成部分以及实际应用，

对最新反扫描技术的成果进行了简单的介绍。

关键词：防火墙技术、入侵检测技术、审计技术、访问控制技术、信息欺骗

扫描是网上攻击者获取信息的最重要途径，是攻击开始的前奏。黑客常常利用扫描技术

进行信息的收集。因此，做好反扫描工作刻不容缓。当然，防范和发现扫描需要靠多种技术

综合才能做到。网络管理员或者个人用户为了阻止非正常的扫描操作并防止网络攻击，增加

系统安全性，研究了反扫描技术。

一、反扫描技术的原理

扫描技术一般可以分为主动扫描和被动扫描，它们都是需要在扫描过程中与受害主机互

通正常或非正常的数据报文。其中主动扫描是主动向受害主机发送各种探测数据包，根据其

回应判断扫描的结果。被动扫描是与受害主机建立正常的连接后，发送属于正常范畴的数据

包，并且被动扫描不会向受害主机发送大规模的探测数据。



要想进行反扫描，其原理如下：

1.减少开放端口，做好系统防护。

默认情况下，有很多不安全或没有什么用的端口是开启的。21端口的FTP服务，易被黑

客通过匿名登录利用，建议如不架设FTP，就关闭。53端口DNS服务，最易遭到黑客攻击，

建议如不提供域名解析服务，就关闭。135端口远程过程调用，易被“冲击波”病毒攻击，

建议不定期关闭该端口。还有139、443、445、1080等端口都存在易被黑客攻击的漏洞。

因此，减少开放端口对于做好系统防护工作是十分有必要的。

2.实时监测扫描，及时做好警告。

我们每个人都应有安全意识，对计算机要定期进行全盘扫描，防止病毒入侵。对于外来

插入的移动存储介质，也应先扫描再打开。对于不确定是否安全的文件，可以在沙箱中打开

查看。在上网的过程中，防火墙及个人杀毒软件都要打开，进行实时监测，谨防网络病毒。

最好的办法是用虚拟机上网，可以大大减少网络病毒对主机的危害。最后也是最重要的一点

是，及时更新杀毒软件。因为病毒变异速度是非常快的。杀毒软件的病毒资料库需要及时更

新才能识别更多更新的病毒。

3.伪装知名端口，进行信息欺骗。

譬如Honeypot这样的系统，它可以模拟一个易被黑客攻击的环境，提供给黑客一个包

含漏洞的系统作为攻击目标，误导攻击者。这种方法不仅能减少黑客对计算机的攻击，还能

收集黑客信息，研究攻击者的攻击方法和类型，以更好地开发防攻击的软件，防止黑客的攻

击。当然，开发这样完备的Honeypot系统不被黑客发现它是假的，也是非常困难的。随着

操作系统日益发展，Honeypot系统也需要不断升级，以满足现如今的需要。

二、反扫描技术的组成

目前普遍认为反扫描技术包括了防火墙技术、入侵检测技术、审计技术、访问控制技术

以及信息欺骗等其他技术。审计技术和访问控制技术是信息安全领域最基本也是最古老的防

范技术，防火墙技术和入侵检测技术是现如今研究的热点。这两类技术在反扫描领域中最重

要的价值是实时发现，同时还具备一些简单的反击功能，因此它们有着举足轻重的作用。它

们构成了一个完整的网络安全防护体系，所防范的内容包括各类扫描、攻击在内的全方位的

网络破坏活动。

1.防火墙技术



首先，“防火墙”是保护计算机网络安全的最成熟、最早产品化的技术措施。事实上，有

些人把凡是能保护网络不受外部侵犯而采取的应对措施，都称作是防火墙。

其次，防火墙是一种访问控制技术，用于加强两个网络之间的访问控制。防火墙在需要

保护的内部网络与有攻击性的外部网络之间设置一道隔离墙，并要求所有进出的数据流都应

该通过它。其工作原理是：按照事先规定好的配置和规则，监测并过滤所有从外部网络传来

的信息和通向外部网络的信息，保护网络内部敏感数据不被偷窃和破坏。

最后，防火墙作为内部网络和外部网络之间的隔离设施，它是由一组能够提供网络安全

保障的硬件、软件构成的系统。一个防火墙系统可以是一个路由器、一台主机或主机群或者

软硬并用，放置在两个网络的边界上，也可能是一套纯软件产品，安装在主机或网关中。防

火墙系统决定了哪些内部服务可以被外界访问，外界哪些人可以访问内部的哪些可以访问的

服务，以及哪些外部访问可以被内部人员访问。要使一个防火墙系统有效，所有来自和去往

外部网的信息都必须经过防火墙，接受防火墙的检查。

2.入侵检测技术

[3]

入侵检测系统（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应

处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设

计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，同时也是一种用于检

测计算机网络中违反安全策略行为的技术。入侵检测系统的典型代表是ISS公司（国际互联

网安全系统公司）的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无

妨碍地监控 网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏

洞和内部误用，从而最大程度地为企业网络提供安全。

3.审计技术

安全审计技术主要负责对网络活动的各种日志记录信息进行分析和处理，并识别各种已

发生的和潜在的攻击活动，是一种事后处理的技术。它作为防火墙技术和入侵检测技术的有

效补充，是系统安全框架中的重要环节。与传统的入侵检测系统相比，安全审计系统并没有

实时性的要求，因此可以对大量的历史数据进行分析，并且采用的分析方法也可以更加复杂

和精细。一般来说，网络安全审计系统能够发现的攻击种类大大高于入侵检测系统，而且误

报率也没有入侵检测系统那样高。

4.访问控制技术

[4]

访问控制是保护数据安全的一种重要途径，是网络安全防范和保护的主要策略。它的主

要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访

问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制

等多种手段。信息系统通过实施访问控制，可以限制对关键资源的访问，防止非法用户的侵

入或者因合法用户的不慎操作而造成破坏。

5.其他反扫描技术

包括系统信息欺骗（如修改旗标）、数据包监听、端口监测、Honeypot与Honeynet。

三、反扫描技术的应用

现在用户常用到的反扫描技术主要集中在防火墙技术的应用以及入侵检测技术的应用

上，这也是两类最有效的途径，尤其是防火墙技术。近年来，随着人们网络安全意识的不断

加强，硬件防火墙越来越受到企业的青睐，国内的防火墙技术也在不断提高。

1.防火墙技术的应用

(1)目前，国外比较流行的顶级杀毒软件主要有BitDefender,来自罗马尼亚。它提供二十

四万的超大病毒库，具有强大的反病毒引擎以及互联网过滤技术。它可以通过回答几个简单

问题，方便进行安装，并支持在线升级。Kaspersky（卡巴斯基）来源于俄罗斯，是世界上最

优秀、最顶尖的网络杀毒软件，查杀病毒性能远远高于同类产品。它具有超强的中心管理能

力和杀毒能力，能真正实现带毒杀毒！并且它提供所有类型的抗病毒防护：抗病毒扫描仪、

监控器、行为阻段、完全检验、防火墙和E-mail通路。F-Secure Anti-Virus来自Linux故

乡芬兰，集合AVP、LIBRA、ORION、DRACO四套杀毒引擎，其中一个就是卡巴斯基的杀

毒内核，而且青出于蓝。该软件采用分布式防火墙技术，对网络病毒尤其有效。

[5]

(2)国内防火墙产业占比重比较大的有华为赛门铁克、思科、H3C、联想网御等。国内硬

件防火墙发展势头良好。硬件防火墙是通过硬件和软件的组合来达到隔离内外部网络的目的；

软件防火墙是通过纯软件的的方式实现隔离内外部网络的目的。硬件防火墙的抗攻击能力比

软件的高很多，首先因为是通过硬件实现的功能，所以效率就高，其次因为它本身就是专门

为了防火墙这一个任务设计的，内核针对性很强。内置操作系统也跟软件防火墙的不一样。

不像软件防火墙那样，哪怕用到的只是防火墙，它依然还得装入很多不相干的模块；并且操

作系统不是针对网络防护这个任务优化设计的，运行起来效率和性能远远低于硬件防火墙。

就好像你用深潜器和潜水艇对比二者的下潜性能一样。因此，硬件防火墙比软件防火墙有更

强大更持久的生命力。其中，这里着重介绍一下关注度比较高的思科ASA5510-K8防火墙以

及华为赛门铁克USG2000系列防火墙。

①思科ASA5500系列防火墙解决方案

[6]

思科ASA5500系列防火墙解决方案为中小型企业提供了全面的网关安全和VPN连接。

凭借其集成的防火墙和Anti-X功能，Cisco ASA 5500系列能在威胁进入网络和影响业务运

营前，就在网关处将它们拦截在网络之外。这些服务也可扩展到远程接入用户，提供一条威

胁防御VPN连接。思科ASA5500系列解决方案提供了：可广为部署的防火墙技术、市场领

先的Anti-X 功能（防病毒、防间谍软件、防垃圾邮件、防泄密、针对Web接入、电子邮件

以及文件传输的实时保护、URL过滤、电子邮件内容过滤以及投资保护等）、威胁防御VPN，

可以进行方便的部署及管理。

②华为赛门铁克USG2000系列防火墙解决方案

华为赛门铁克USG2000系列统一安全网关是华赛公司针对中小企业安全业务需求，推

出的新一代高性能中低端统一安全网关，USG2000系列采用华赛VRP软件平台，集防火墙、

防DDoS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件控制、无线局域网WiFi

（802.11b、802.11g、802.11b/g混合模式）、3G接入、L2TP/IPSEC/SSL/MPLS VPN等

特性于一体，能为中小企业、大型企业分支机构网络、以及网吧出口网关提供高性能的安全

防护，能有效帮助用户提高安全防护能力，提高办公效率，帮助企业提升工作效率，节省投

资。

2.入侵检测技术的应用

国内比较有名的网络安全产品的提供商有启明星辰、天融信、联想网御等。其中启明星

辰的天阗入侵检测与管理系统（IDS）以其强大的入侵检测性能备受关注。天阗入侵检测与管

理系统（IDS）是启明星辰自主研发的入侵检测类安全产品，其主要作用是帮助用户量化、定

位来自内外网络的威胁情况，提供有针对性的指导措施和安全决策依据，并能够对网络安全

整体水平进行效果评估，天阗入侵检测与管理系统（IDS）采用了融合多种分析方法的新一代

入侵检测技术，配合经过安全优化的高性能硬件平台，坚持“全面检测、有效呈现”的产品

核心价值取向，可以依照用户定制的策略，准确分析、报告网络中正在发生的各种异常事件

和攻击行为，实现对网络的“全面检测”，并通过实时的报警信息和多种格式报表，为用户提

供翔实、可操作的安全建议，帮助用户完善安全保障措施，确保将信息“有效呈现”给用户。

四、结束语

现如今，反扫描技术还是存在着一定的漏洞。怎样才能使防火墙技术和入侵检测技术等

反扫描技术一体化也将是未来反扫描技术研究的方向。在反扫描技术中，如何有效地利用好

反扫描技术追踪到黑客IP，进而打击犯罪，避免更多的人受害也是反扫描技术发展路上的重

要课题。

参考文献



信息对抗与网络安全(第2版). 贺雪晨. 北京. 清华大学出版社,2010



计算机网络安全技术. 潘瑜. 科学出版社,2008

[3]

入侵检测技术. 唐正军 李建华. 北京. 清华大学出版社,2008

[4]

访问控制概论. 洪帆. 华中科技大学出版社,2010

[5]

防火墙产业分析. 百度文库

[6]

ZOL中关村网站

本文标签： 技术网络防火墙扫描系统