Day 04 - [掃描] 怎麼知道被亂來呢？

[背景音]：在亂世要怎麼才能知道自己的鎧甲是否刀槍不入，哼哼，當然是先射上它一箭！（巴頭

嗨～大家好！總算進入到掃描的高潮章節了！怎麼知道我們的機器被別人掃到了呢？這個問句的言外之意，其實就是反問我們是否可以在有心人士發動攻擊之前，在掃描的階段就知覺到並開始遏止！畢竟預防勝於治療，治痛大於止痛！那就讓我們開始治療吧～

首先，我們可以由兩個觀點切入，一則是防禦的心法，而另一則是防禦的方式。

心法部分就是 “阻擋” 和 “緩速”：

• 阻擋：針對服務的流量進行來源的篩選或是其他條件，讓可信任的流量進入並阻擋不信任的流量。
• 緩速：針對無法進行有效阻擋的服務，而採取的手段，拖慢攻擊者得到結果，爭取更多時間進行防護。

防禦方式千奇百怪，有一些會嘗試讓攻擊者誤以為有假的漏洞可以鑽，鑽進去之後才發現被騙了。筆者還沒有做過但是心裡想想還是滿爽的，但是這種方式其實有幾個風險存在，其一，部署者在同樣的時間內，其實可以去做更有效的防護；其二，誤導程式如果本身是有漏洞的，本來只是想嘲諷，返過來被嘲諷，跟六等前的提摩一樣。也因此在這邊呼籲，母湯假會唷～ 下面就羅列各種防禦手段和優劣：

俗話說：攻擊就是最好的防守，這句話並不是鼓勵大家去攻擊人，而是在做好防護後，也可以定期掃描自己的機器去探查出防護網中的漏洞~~（出廠後還是要定期做保養的）~~。各位可以使用影片中辣妹推薦的 Ndiff ，方便做比較這次和上次的結果唷～

探討完這許多防禦的小步數之後，終歸對工程師來說好的工具才能有效地追蹤、監視和預防。不免俗套，還是推薦了 TcpDump & WireShark 給大家，網路以及仿間都有海量的資料可以幫助各位去使用，另外 IDS 的部分，在這邊先賣個關子，之後有機會再跟各位分享～ 那文章也布入尾聲，希望這篇的彙整有幫助到大家～並讓讀者對『掃描』有更進一步的了解！感謝您的駐足我們明天見～

參閱文件：

NMAP DEFENSE := https://nmap.org/book/defenses.html

PORT KNOCKING := https://n0where.net/ssh-port-knocking

TAR PITS := https://github.com/Hirato/LaBrea