并非网络攻击者使用的所有技术都是严格恶意的。端口扫描攻击只是针对旨在保护网络的常规安全技术的一个经典示例。

但这不足为奇。端口扫描一直是安全专业人员在其网络中进行服务发现的一项关键技术.

近年来，端口扫描攻击变得越来越危险-并不是因为技术发生了巨大变化，而是因为进出端口的数据包比以往任何时候都要多。 

防御自动端口扫描攻击并不只是具有适当的防火墙过滤器就行了。保护您免受恶意端口扫描的影响应该始于网络可视化。

什么是端口扫描攻击？

为了发起端口扫描攻击，黑客利用Nmap之类的工具来对网络上可用的主机进行分类。端口扫描将返回已识别端口的三种潜在分类之一：

• 打开：目标主机正在侦听端口，并且正在使用扫描中使用的服务。

• 已关闭：接收到数据包请求，但服务未在端口上侦听。

• 已过滤：已发送数据包请求，但没有答复，表明防火墙已过滤了请求数据包。

通过这种方式映射端口可使攻击者洞悉网络的薄弱环节。每个开放的端口都表明潜在的漏洞系统很容易被攻击者利用，从而在您的网络中立足或发起拒绝服务活动。

常见建议是关闭或过滤未使用的端口。这样，您就不必向黑客提供不必要的潜在访问点。但是，开放端口对于您的关键任务，网络连接的应用程序和系统至关重要。关闭每个端口很重要，因此了解攻击者希望在扫描时找到哪个特定端口很关键。几个的最流行的端口为黑客包括：

• 端口23：Telnet端口很少使用，因为它已过时。但是，如果您不小心将此端口保持打开状态，则攻击者可能会获得对您的网络的root访问权限。

• 端口445：此端口也存在相同的Telnet问题，可用于在Windows主机上获得远程访问。

• 端口110：如果此端口上的POP3服务受到攻击，攻击者可以访问您企业中的电子邮件帐户。

• 端口80和8080：由于这些端口分别控制前端系统和后端系统上的HTTP连接，因此，密码泄露可以使攻击者访问几乎所有公司数据。

无论攻击者是针对这些特定的端口，还是只是在您的网络上进行侦查，您都将面临一个挑战，即如何阻止端口扫描攻击。随着攻击者变得越来越先进，这并不容易。但是，无论您如何看，网络可见性都是抵御这种恶意活动的必要基础。

通过网络可视化方案应对端口扫描攻击

在理想环境中，入侵检测系统和防火墙将自动检测恶意端口扫描。尽管他们可能会捕获大量攻击，但事实是，攻击者越来越有能力绕过这些工具。通过混合端口扫描攻击的频率，顺序和源地址，黑客可以找到网络中的易受攻击点，而不必担心扫描被阻止。

为了增强安全工具提供的保护，您需要能够主动发现网络行为异常。在整个网络上进行恶意端口扫描时，您应该能够识别出站连接活动和入站流量模式中的异常。必须分析这些异常，以便您可以阻止端口扫描，即使攻击者设法绕过了预先配置的安全工具也是如此。

但是，实现这种针对端口扫描攻击的主动保护的唯一方法是创建一个普及的网络可见性层。网络TAP，网络数据包代理和Bypass交换机的正确组合将确保始终将正确的流量传递到正确的工具。它是增加网络智能的基础，它将解锁高级流量处理，以阻止端口扫描攻击。

攻击者已经利用了网络复杂性，带宽和网络工具数量增加给安全团队带来的问题。由于要管理的流量如此之大，端口扫描攻击可能会席卷整个裂缝，并为黑客提供入侵整个网络所需的所有信息。 

但是，如果您的可见性层配备了正确的网络智能应用程序（如网络流量分析（NTA）），则可以在攻击者能够完成其扫描之前解决异常行为。

真正的挑战是确定如何构建适合您特定网络需求的可见性层。我们自己的网络可见性专家可以提供帮助。

如果您想了解像Niagara这样的网络可视化解决方案如何将您的可见性层转变为有效的保护层并帮助您阻止数据包扫描攻击，请立即与我们联系。