掃描攻擊案例以及解決方法

『壹』 ARP攻擊的原理，現象，和解決方法是什麼

1.首先給大家說說什麼是ARP
ARP（Address Resolution Protocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網路層（IP層，也就是相當於OSI的第三層）地址解析為數據連接層（MAC層，也就是相當於OSI的第二層）的MAC地址。
ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址後，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，於是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答後，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網路流通的基礎，而且這個緩存是動態的。

ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當區域網中的某台機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網路不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。

2.網路執法官利用的就是這個原理！

在網路執法官中，要想限制某台機器上網，只要點擊"網卡"菜單中的"許可權"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"許可權"，在彈出的對話框中即可限制該用戶的許可權。對於未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）後，將網卡的默認許可權改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。

3.修改MAC地址突破網路執法官的封鎖

根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網路執法官的掃描，從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法：
在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_
MACHINE/System/CurrentControl
Set/Control/Class/{4D36E972-E325-11CE-BFC1-08002BE103
18}子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002......在這里保存了有關你的網卡的信息，其中的DriverDesc內容就是網卡的信息描述，比如我的網卡是Intel 210
41 based Ethernet Controller），在這里假設你的網卡在0000子鍵。
在0000子鍵下添加一個字元串，命名為"NetworkAddress"，鍵值為修改後的MAC地址，要求為連續的12個16進制數。然後在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字元串，鍵值為修改後的MAC地址。
在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字元串，其作用為指定Network
Address的描述，其值可為"MAC Address"。這樣以後打開網路鄰居的"屬性"，雙擊相應的網卡就會發現有一個"高級"設置，其下存在MAC Address的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以後只要在此修改MAC地址就可以了。
關閉注冊表，重新啟動，你的網卡地址已改。打開網路鄰居的屬性，雙擊相應網卡項會發現有一個MAC Address的高級設置項，用於直接修改MAC地址。

MAC地址也叫物理地址、硬體地址或鏈路地址，由網路設備製造商生產時寫在硬體內部。這個地址與網路無關，即無論將帶有這個地址的硬體（如網卡、集線器、路由器等）接入到網路的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網路硬體製造商的編號，它由IEEE分配，而後3位16進制數0A:8C:6D代表該製造商所製造的某個網路產品（如網卡）的系列號。每個網路製造商必須確保它所製造的每個乙太網設備都具有相同的前三位元組以及不同的後三個位元組。這樣就可保證世界上每個乙太網設備都具有唯一的MAC地址。

另外，網路執法官的原理是通過ARP欺騙發給某台電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網路執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然後再用ARP -a命令得到網關的MAC地址，最後用ARP -s IP 網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。

4.找到使你無法上網的對方

解除了網路執法官的封鎖後，我們可以利用Arpkiller的"Sniffer殺手"掃描整個區域網IP段，然後查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運行Arpkiller（圖2），然後點擊"Sniffer監測工具"，在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。
檢測完成後，如果相應的IP是綠帽子圖標，說明這個IP處於正常模式，如果是紅帽子則說明該網卡處於混雜模式。它就是我們的目標，就是這個傢伙在用網路執法官在搗亂。

掃描時自己也處在混雜模式，把自己不能算在其中哦！

找到對方後怎麼對付他就是你的事了，比方說你可以利用網路執法官把對方也給封鎖了！

『貳』 被ARP掃描攻擊怎麼辦

想把arp徹底解決裝個防火牆是不行地？arp必須得群芳群控才行，防火牆只能防你本身的電腦不受攻擊，更何況現在很多arp木馬都無視防火牆了，從根本上就控制不了，也根本找不到攻擊源。

目前對arp防控最好的是欣向的免疫網路解決方案，它的網關通過特殊的對協議對arp先天免疫，終端裝有免疫驅動，讀取燒錄在網卡上的mac地址，攔截過量的arp數據包，網關監控中心能監控到每台機器的上下載流量，arp發送量等信息，誰干壞事，能准確定位，非常好用。

『叄』 防火牆一直遭到同一個IP掃描攻擊

首先，多次使用同一IP進行掃描，只要不是技術問題，因該是使用了肉雞掃描，一般對某一IP封鎖的話收效甚微，可以試著關閉埠，來防止攻擊。

一般，使用天網防火牆，添加規則可以封閉埠

每一項服務都對應相應的埠，比如眾如周知的WWW服務的埠是80，smtp是25，ftp是21，win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉埠也就是關閉無用的服務。 「控制面板」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等埠：關閉Simple TCP/IP Service,支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口：關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。
3、關掉25埠：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。
4、關掉21埠：關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
5、關掉23埠：關閉Telnet服務，它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。
6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。
7、還有一個就是139埠，139埠是NetBIOS Session埠，用來文件和列印共享，注意的是運行samba的unix機器也開放了139埠，功能一樣。以前流光2000用來判斷對方主機類型不太准確，估計就是139埠開放既認為是NT機，現在好了。 關閉139口聽方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性，進入「高級TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139埠。 對於個人用戶來說，可以在各項服務屬性設置中設為「禁用」，以免下次重啟服務也重新啟動，埠也開放了。
每一項服務都對應相應的埠，比如眾如周知的WWW服務的埠是80，smtp是25，ftp是21，win2000安裝中默認的都是這些服務開啟的。對於個人用戶來說確實沒有必要，關掉埠也就是關閉無用的服務。
「控制面板」的「管理工具」中的「服務」中來配置。
1、關閉7.9等等埠：關閉Simple TCP/IP Service,支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。
2、關閉80口：關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。
3、關掉25埠：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。
4、關掉21埠：關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。
5、關掉23埠：關閉Telnet服務，它允許遠程用戶登錄到系統並且使用命令行運行控制台程序。
6、還有一個很重要的就是關閉server服務，此服務提供 RPC 支持、文件、列印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的共他操作。
7、還有一個就是139埠，139埠是NetBIOS Session埠，用來文件和列印共享，注意的是運行samba的unix機器也開放了139埠，功能一樣。以前流光2000用來判斷對方主機類型不太准確，估計就是139埠開放既認為是NT機，現在好了。
關閉139口聽方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性，進入「高級TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139埠。
對於個人用戶來說，可以在各項服務屬性設置中設為「禁用」，以免下次重啟服務也重新啟動，埠也開放了。

給你介紹一個在手工在windows裡面設置的方法
本地連接》》狀態》》屬性》》tcp/ip協議》》屬性》》高級》》選項》》屬性》》啟用TCP/IP刪選》》只把你需要的埠填上去。其餘都不要就可以了
還有一些默認的埠需要手工去修改注冊表
1.關閉139埠：139埠是NetBIOS Session埠，用來文件和列印共享，注意的是運行samba的unix機器也開放了139埠，功能一樣。關閉139口聽方法是在「網路和撥號連接」中「本地連接」中選取「Internet協議(TCP/IP)」屬性，進入「高級TCP/IP設置」「WINS設置」裡面有一項「禁用TCP/IP的NETBIOS」，打勾就關閉了139埠。
2.關閉445埠：修改注冊表，添加一個鍵值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
"SMBDeviceEnabled"=dword:00000000
QQ的埠號：在家裡上網的話是4000
但珊瑚蟲版的是3000以後

『肆』 知道自己被掃描或者被攻擊了 應該怎麼處理

要防禦被掃描的話，首先就把不用的埠關掉例如3398之類的 這是默認開啟的，而且這幾個埠也是被掃描最頻繁的，，其次邇說的是被攻擊，現在最流行的莫過於DOSS攻擊了，簡單來說就是流量攻擊吧，依靠所台肉雞以最大的Ping 值一直ping你的電腦直到邇的電腦癱瘓，要防禦攻擊的話首先就要知道對方用的是什麼手段吧，如果是DOSS的話可以設置以下接收到來自同一台電腦的多少包變不在接受也就OK了

『伍』 如何防範掃描器攻擊

掃描器對於系統安全極其重要，它能發現系統和網路在安全方面的弱點。如果系統管理員使用了掃描工具，將直接有助於加強系統安全性；若被黑客使用，他將會努力尋找系統中的安全漏洞，嘗試做出突破系統安全防線的行為，這對系統安全是極大的威脅。

對於掃描器攻擊的防範方法主要有兩種：基於包檢測的實時分析與基於日誌的事後分析。
基於包檢測的實時分析的原理是：在主機上運行一個網路監聽進程，獲取發送至該主機的所有數據包。定義一個規則集，包含一些預定義規則，例如，在一個連續的時間內，收到一定頻率以上的SYN或FIN請求，就可認為檢測到SYN/FIN掃描。通過匹配演算法，將接受的數據包與規則進行匹配，以確定屬於何種掃描攻擊。
基於包檢測的實時分析具有實現簡單、實時監測與反應等優點，目前被廣泛應用於入侵檢測系統（IDS）與防火牆。但由於實時監測，它的系統開銷較大，尤其是大流量的網路通信時，會影響系統效率。
基於日誌的事後分析主要使用syslog日誌。Syslog是一個非常有用的消息日誌工具，最初為基於BSD Unix系統開發的syslog作為sendmail的附屬工具，現在已包含在各種Unix系統中。為了利用syslog，在後台執行一個名為syslogd的守護程序，該守護程序從以下三個來源監聽日誌消息：

1. /dev/log 一個Unix域套接字，它接收在本地機器上運行的進程所產生的消息。
2. /dev/klog 一個從Unix內核接收消息的設備。
3. 514埠 一個Internet域套接字，它接收其它機器上通過UDP產生的syslog消息。

當syslog從其中任何一個來源接收到消息時，它檢查自己的配置文件syslog.conf，找出消息的相應目標。當發現異常情形時，就可以確認檢測到掃描攻擊。基於日誌的事後分析具有系統開銷低、可以利用現有工具等優點，其缺點也很明顯，不能做實時監測。
將基於包檢測的實時分析與基於日誌的事後分析結合起來使用，能相互補充，達到較好的防護效果。

『陸』 如何減少伺服器被埠掃描和枚舉攻擊

解決埠被掃描和枚舉攻擊，其實還是比較簡單的，我們對伺服器做幾處修改，就能避免。一、修改管理員用戶名默認的管理員用戶名是administrator，通過日誌也能看出，絕大部分的試圖登錄都是用這個用戶名的。可以進入 開始-->程序-->管理攻擊-->本地安全策略-->本地策略-->安全選項裡面重新命名管理員。二、設置賬戶鎖定策略賬戶鎖定策略是指用戶在幾次嘗試之後都沒有正確輸入密碼，那麼該賬戶就會被鎖定一定的時間。可以在開始-->程序-->管理攻擊-->本地安全策略-->賬戶策略-->賬戶鎖定策略裡面設置。三、修改遠程埠把埠號重新設置一下，那麼埠掃描的時候就掃描不到了，相對來說就比較安全了。我以前有寫過一篇修改遠程埠的日誌，具體的修改遠程埠的方法請看這里。四、使用PcAnywhere或者Real VNC如果使用了PcAnywhere或者Real VNC的話，連上去的時候，必須有一個客戶端，我發現PcAnywhere對Windows 7的支持不好，在使用的時候比較不方便。Real VNC比較方便，支持Windows 7和XP等系統，建議大家可以試試。本文標簽為: pcanywhere, real VNC, windows 2003, 伺服器安全,埠掃描,