警告:检测到侦察

侦察扫描检测功能可对潜在攻击或收集网络情报的行为进行预警。

侦察扫描类型

趋势科技服务器深度安全防护系统可检测若干种侦察扫描：

• 计算机操作系统指纹探测：客户端或设备检测到尝试发现计算机操作系统的行为。
• 网络或端口扫描：如果客户端或设备检测到有远程 IP 以异常的 IP-端口比访问系统，客户端或设备会报告网络或端口扫描。客户端或设备计算机通常只会看到流向自身的网络通信，因此，端口扫描是最常检测到的探测类型。计算机或端口扫描检测使用的统计分析方法源自在 2006 年的 IPCCC 上汇报的“骨干网上的无连接端口扫描检测”论文中提出的“TAPS”算法。
• TCP Null 扫描：客户端或设备会检测未设置标志的数据包。
• TCP SYNFIN 扫描：客户端或设备会检测只设置了 SYN 和 FIN 标志的数据包。
• TCP Xmas 扫描：客户端或设备会检测只设置了 FIN、URG 和 PSH 标志或只具有 0xFF 值（设置了每个可能的标志）的数据包。

建议措施

收到“检测到侦察”警报时，请双击该警报显示详细信息，包括执行扫描的 IP 地址。然后，您可以尝试以下建议措施之一：

• 该警报可能是由于非恶意扫描造成的。如果警报中列出的 IP 地址是您已知的地址且流量正常，则可将该 IP 地址添加到侦察白名单：
  1. 在计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。 要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。中，转至防火墙 > 侦察。
  2. 不检测来自以下位置的流量列表应包含列表名称。如果还未指定列表名称，请选择一个。
  3. 您可以转至策略 > 通用对象 > 列表 > IP 列表来编辑该列表。双击要编辑的列表，然后添加 IP 地址。
• 您可以指示客户端和设备在一段时间内阻止来自源 IP 的流量。要设置分钟数，请打开计算机或策略编辑器可以更改策略或特定计算机的这些设置。 要更改策略的设置，请转至“策略”页面并双击要编辑的策略（或者选择策略并单击“详细信息”）。 要更改计算机的设置，请转至“计算机”页面并双击要编辑的计算机（或者选择计算机并单击“详细信息”）。，转至防火墙 > 侦察，然后为相应扫描类型更改阻止流量值。
• 您可以使用防火墙或安全组来阻止传入 IP 地址。

趋势科技服务器深度安全防护系统管理中心不会自动清除“检测到侦察”警报，但您可以在趋势科技服务器深度安全防护系统管理中心手动清除相关问题。

有关侦察扫描的详细信息，请参阅防火墙设置。