屏蔽SQLFindCandy对数据库的扫描

一、SQLFindCandy扫描

SQLFindCandy 写它的人叫村雨（他说它很Cool，呵呵他人还不错）

软件的介绍功能如下：

1.查找一个网段的所有SQl Server2000服务器！
2.对于网管自己修改SQL Server端口(非1433)的机器也一样能找到修改过的SQl Server服务端口！
3.并非采用端口扫描技术，整个扫描不超过3秒！
4.能获得SQL Server的版本信息和主机名以及所使用的其它连接协议！
5.当一台SQL Server上有多个数据库服务时，能把所有这些服务的段口都扫描出来

看到这个程序以后，吓了我一跳。

用了以后、、

本来打算截个图的，实在是不能忍受程序写的变态，决定不截图了

随便扫了一个段，果然，左边的列表中显示出了某个ip的SQL信息。

包括ServerName、InstanceName、IsClustered、Version、tcp、np六项。

当然、结果很简单。可意义并不简单。

因为：被扫描的这台机器已经做过TCP过滤了、、这种情况下居然还被扫出来

呵呵，不太好吧。

呵呵

我写程序不怎么样，不过傻人总有傻人的办法。

我开始寻找如何抵挡这样的扫描、、、

二、屏蔽扫描

经过分析，发现这种扫描对MSSQL7.0似乎没有起到作用。也不知道是我不会用还是手气不好还是本身

就没有这种功能反正我发现这个软件对MSSQL7没有作用，只对MSSQL2K有用。

截了一下数据包，发现它通过1434 udp 来进行探测的，难怪过滤了TCP都没用呢。

在MSSQL2K中，服务器支持动态端口，当通过1434udp发送1个特殊字节的数据报以后，

MSSQL2K就会返回一些基本信息。

知道这个以后，一切都方便了，很容易做过滤了。

在WINDOWS 2K下有很多过滤端口的方法，不过，我最喜欢的还是通过IP安全策略来进行过滤。

最充足的理由就是不需要重启，而且可以方便的过滤多项内容。

打开本地IP安全策略

[1] [2] [3] 下一页