案例一次端口掃描行為的分析案例_第1頁(yè)
案例一次端口掃描行為的分析案例_第2頁(yè)
案例一次端口掃描行為的分析案例_第3頁(yè)
案例一次端口掃描行為的分析案例_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、一次端口掃描行為的分析案例端口掃描是網(wǎng)絡(luò)中常見(jiàn)的行為之一。網(wǎng)絡(luò)管理員利用端口掃描可以檢測(cè)自己網(wǎng)絡(luò)的健康狀況,用以修補(bǔ)漏洞、制定完善的安全策略;黑客利用端口掃描可以發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)/主機(jī)中存在的漏洞,為后續(xù)的進(jìn)一步入侵做準(zhǔn)備。本案例是一次典型的針對(duì)網(wǎng)絡(luò)中Windows系統(tǒng)和MS SQL Server數(shù)據(jù)庫(kù)服務(wù)器漏洞的端口掃描行為。環(huán)境說(shuō)明:本案例為某實(shí)驗(yàn)性網(wǎng)絡(luò),內(nèi)部主機(jī)使用公有IP地址。核心交換機(jī)上部署了科來(lái)回溯式分析服務(wù)器,通過(guò)端口鏡像將內(nèi)部網(wǎng)絡(luò)的流量導(dǎo)入回溯式分析服務(wù)器。案例分析:某日上午在分析系統(tǒng)控制臺(tái)上將趨勢(shì)圖表設(shè)置為“TCP分析”狀態(tài)時(shí),偶然發(fā)現(xiàn)有兩個(gè)時(shí)刻網(wǎng)絡(luò)中TCP同步包數(shù)量明顯增多。T

2、CP同步包最多時(shí)達(dá)到了TCP同步確認(rèn)包的兩倍還多,而通常情況下TCP同步包數(shù)量只會(huì)略多于TCP同步確認(rèn)包。于是我選取了其中一個(gè)峰值約15秒的時(shí)間段,在“IP地址”瀏覽頁(yè)面按照“發(fā)TCP同步包”進(jìn)行排名,發(fā)現(xiàn)某IP地址15秒內(nèi)發(fā)送了773個(gè)TCP同步包排名第一,而該IP總發(fā)包量才868個(gè)。這顯然不是一個(gè)正常現(xiàn)象。于是下載該IP的數(shù)據(jù)包進(jìn)行深入分析。在IP會(huì)話列表中看到該IP地址與內(nèi)網(wǎng)的每一個(gè)IP都有IP會(huì)話,這是對(duì)網(wǎng)段內(nèi)所有主機(jī)進(jìn)行掃描的典型特征。從上圖中可以看出攻擊者對(duì)每臺(tái)主機(jī)發(fā)送了至少3個(gè)TCP同步報(bào)文,目標(biāo)端口是每臺(tái)主機(jī)的RPC(135)、MSSQL(1433)和CIFS(445)。圖中數(shù)

3、據(jù)包總量為3的是主機(jī)不存在或未作響應(yīng);數(shù)據(jù)包為6的是主機(jī)對(duì)掃描著回應(yīng)了TCP重置或ICMP目標(biāo)不可達(dá)消息,表示攻擊者訪問(wèn)的端口沒(méi)有開(kāi)放;而有幾臺(tái)主機(jī)與攻擊者交換了幾十個(gè)數(shù)據(jù)包,說(shuō)明在這幾臺(tái)主機(jī)上的上述3個(gè)端口有一個(gè)或多個(gè)可以訪問(wèn),攻擊者對(duì)這幾臺(tái)主機(jī)進(jìn)行了深入的漏洞掃描。TCP 135和445是用于Windows遠(yuǎn)程過(guò)程調(diào)用和文件共享的端口。在Windows 2003 SP1之前的系統(tǒng)中這兩個(gè)服務(wù)存在比較大的漏洞,常被一些蠕蟲(chóng)病毒利用,如早年的沖擊波和震蕩波,攻擊者也會(huì)利用這兩個(gè)端口對(duì)系統(tǒng)進(jìn)行入侵。TCP 1433是SQL Server的服務(wù)端口。黑客可以利用它進(jìn)行弱口令嘗試,如果成功就可能獲得

4、目標(biāo)主機(jī)的系統(tǒng)權(quán)限。為了看到攻擊者對(duì)那幾臺(tái)開(kāi)放端口的主機(jī)做了什么,我把界面切換到“TCP會(huì)話”,深入分析攻擊者進(jìn)行漏洞掃描的行為。此次針對(duì)SQL Server的掃描每次會(huì)話為11到12個(gè)報(bào)文不等,選取其中某個(gè)會(huì)話在數(shù)據(jù)流頁(yè)面中能夠明顯看到攻擊者在嘗試sa口令,上圖中服務(wù)器的回應(yīng)數(shù)據(jù)我看不太明白,只是從服務(wù)器在回應(yīng)口令嘗試后立刻終止了會(huì)話來(lái)推測(cè)此次嘗試并未成功。從針對(duì)CIFS的掃描會(huì)話的數(shù)據(jù)流視圖中能夠明顯的看出IPC$連接請(qǐng)求,和命名管道的訪問(wèn)請(qǐng)求,可以看出這是針對(duì)Windows 2003 SP1以前版本”pipebrowser”命名管道漏洞的攻擊嘗試。被掃描系統(tǒng)是Windows Server 2003 R2 SP2并不會(huì)受到影響。建議:此次端口掃描過(guò)程時(shí)間不長(zhǎng),但類似的行為曾多次出現(xiàn),并且在其他時(shí)段發(fā)現(xiàn)了數(shù)個(gè)不的同源IP地址在對(duì)內(nèi)網(wǎng)進(jìn)行掃描。雖

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論