入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
选中网络邻居——》右键——》本地连接——》INTERNET协议(TCP/IP)——》属性——》高级——》选项——》TCP/IP筛选——》在“只允许”中填入除了137,138,139只外的端口。如果你在局域网中,会影响局域网的使用。
当然还有最方便的方法:
选择一条天网的空规则,数据包方向选接收;对方IP地址选任何;协议TCP;本地端口139到139;对方端口0到0;标志位在SYN标志上打勾;动作拦截。
这个星期刚刚用Python写了几个 ping,dns(UDP 53)扫描以及tcp端口扫描的程序,总结有以下几点:
1. 多线程,一个线程负责发,一个线程负责收
2. 使用raw socket,需要有root权限,其中ICMP的raw socket需要设置参数告诉kernel IP头有你的程序添加。我在check sum这里卡了点时间,手里最好有本网络参考书,《TCP/IP illustrated》最好,在写代码之前必须对报文格式以及各字段做到心中有数。
端口扫描是指某些别有用心的人发送一组端口扫描消息,试图以此侵入某台计算机,并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上,端口扫描包括向每个端口发送消息,一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻其弱点。
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本,这就能让人们间接的或直观的了解到远程主机所存在的安全问题。
扫描界的元老级人物当然是nmap了,就来黑客帝国中的片段也用nmap,但是这些都是普通级别的,专业的扫描器好几十万到上百万呢,那扫描的信息才叫准,例如绿盟新出的扫描器,相当权威了,让这个扫描器为你扫描一下系统安全性,就要付出好几万的信息费用。
端口扫描,这种入侵检测方法大家想必都经常用到,但是你对这些方法的基本原理又了解多少呢?
首先,你可以选择都种工具,本人喜欢nmap for linux,但不是常在linux下混,毕竟还是windows方便点,呵呵,高手别笑我哦!
下面谈下端口扫描方式!大体可以分为两种,TCP扫描和秘密扫描
TCP扫描最常见的有两种
全扫描、半扫描
是网络上一些进行批量扫描,并不是故意针对你个人的。
关闭共享 安装防火墙 并把他IP加到黑名单 关闭被扫描而无用的端口,瑞星防火墙有关闭指定端口的功能的 。
一般关闭共享他就不能进来
1.控制面板-网络连接-本地连接-属性
选中“Microsoft 网络的文件和打印机共享”
卸载
2.进入注册表
为了阻止端口扫描技术,可以使用以下哪种设备
防火墙可以阻止针对办公主机的部分入侵活动,如端口扫描、非法访问等。
反病毒软件。能够阻止外部主机对本地计算机的端口扫描,就是属于病毒的类型,因此反病毒软件类型的是最有效的。
NMap,也就是Network Mapper,用来扫描网络上计算机开放的网络连接端口。网络管理员用该软件评估网络系统的安全,也可来探测工作环境中未经批准使用的服务器。但是黑客可以用来搜集目标电脑的网络设定从而计划攻击
端口扫描:端口对应网络服务及应用端程序
服务端程序的漏洞通过端口攻入
发现开放的端口
问题一:如何查看端口是否已打开及端口占用情况 1、点击开始-运行-输入cmd点击确定
2、用netstat -nao可以查看所有的占用端口
3、再显示出来的列表中有pid一列
4、再任务管理器中再显示列中选择显示pid
5、通过pid可以查询到每个端口占用的进程是什么
问题二:怎么查看某个端口是否开启 命令行:netstat -a
