?b>三) 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址
这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。
利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。
你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。

  四) 特洛伊木马扫描是指什么?
  特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:
1) 将木马程序发布在Newsgroup中,声称这是另一种程序。
2) 广泛散布带有附件的E-mail
3) 在其Web上发布木马程序
4) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)
5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
6) 通过“文件与打印共享”将程序Copy至启动组