侦察
侦察扫描
侦察页面允许您在计算机上启用和配置流量分析设置。此功能可以检测可能的侦察扫描,并帮助阻止攻击。
- 已启用侦察扫描检测:打开或关闭检测侦察扫描功能。
- 要对其执行检测的计算机/网络:从下拉列表中选择要保护的 IP。从现有的 IP 列表中选择。(您可以使用策略 > 通用对象 > 列表 > IP 列表页面专门为此创建 IP 列表。)
- 不检测来自以下位置的流量:从一组 IP 列表中选择要忽略的计算机和网络。(同上,您可以使用策略 > 通用对象 > 列表 > IP 列表页面专门为此创建 IP 列表。)
如果您要启用侦察防护,还必须在策略/计算机编辑器 > 防火墙 > 常规选项卡上启用防火墙和状态检查。另外,还应转至策略/计算机编辑器 > 防火墙 > 高级选项卡,启用为允许策略之外的数据包生成防火墙事件设置。这将生成侦察所需的防火墙事件。
对于每一种攻击,可指示客户端/设备将信息发送给 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心,在这里将会触发警报。您可以将管理中心配置为在触发警报时发送电子邮件通知。(请参阅管理 > 系统设置 > 警报。警报包括:“检测到网络或端口扫描”、“检测到计算机操作系统指纹探测”、“检测到 TCP Null 扫描”、“检测到 TCP FIN 扫描”和“检测到 TCP Xmas 扫描”。)请对此选项选择立即通知 DSM。
要使“立即通知 DSM”选项生效,必须在策略/计算机编辑器 > 设置 > 计算机中将客户端/设备配置为进行客户端/设备启动的通信或双向通信。启用后,一旦检测到攻击或探测,客户端/设备会立即向 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心启动波动信号。
检测到攻击后,您可以指示客户端/设备阻止来自源 IP 的流量一段时间。使用阻止流量下拉列表可设置分钟数。
- 计算机操作系统指纹探测:客户端/设备会识别主动 TCP 堆栈操作系统指纹尝试并做出反应。
- 网络或端口扫描:客户端/设备会识别端口扫描并做出反应。
- TCP Null 扫描:客户端/设备会拒绝未设置标志的数据包。
- TCP SYNFIN 扫描:客户端/设备会拒绝只设置了 SYN 和 FIN 标志的数据包。
- TCP Xmas 扫描:客户端/设备会拒绝只设置了 FIN、URG 和 PSH 标志或只具有 0xFF 值(设置了每个可能的标志)的数据包。
“网络或端口扫描”与其他类型的侦察不同,因为它无法通过单个数据包加以识别,并且需要 Vulnerability Protection 趋势科技服务器深度安全防护系统对流量进行一段时间的监测。
如果客户端/设备检测到有远程 IP 以异常的 IP-端口比访问系统,客户端/设备会报告“计算机或端口扫描”。客户端/设备计算机通常只会看到流向自身的网络通信,因此,端口扫描是最常检测到的探测类型。但是,如果计算机充当路由器或网桥,则可以看到流向其他许多计算机的网络通信,所以客户端/设备可以检测到计算机扫描(例如,在整个子网络中扫描已打开端口 80 的计算机)。
检测这些扫描可能需要几秒的时间,因为客户端/设备需要能够跟踪不成功的连接,并能够在比较短的时间内判断来自单台计算机的不成功连接数有异常。
计算机/端口扫描检测中所采用的统计分析方法,源自 "Connectionless Port Scan Detection on the Backbone" 文件中建议的 "TAPS" 算法,该文件由 Sprint/Nextel 发布,并在 Malware 研讨会上提出(与 IPCCC 同样于 2006 年 4 月在美国亚利桑那州凤凰城举办)。
在装有浏览器应用程序的 Windows 计算机上运行的 Vulnerability Protection 趋势科技服务器深度安全防护系统客户端由于接收到来自已关闭的连接的剩余网络通信,有时会误报侦察扫描。