一次端口掃描行為的分析案例

一次端口掃描行為的分析案例端口掃描是網(wǎng)絡(luò)中常見的行為之一。網(wǎng)絡(luò)管理員利用端口掃描可以檢測自己網(wǎng)絡(luò)的健康狀況，用以修補(bǔ)漏洞、制定完善的安全策略；黑客利用端口掃描可以發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)/主機(jī)中存在的漏洞，為后續(xù)的進(jìn)一步入侵做準(zhǔn)備。本案例是一次典型的針對網(wǎng)絡(luò)中Windows系統(tǒng)和MSSQLServer數(shù)據(jù)庫服務(wù)器漏洞的端口掃描行為。1.環(huán)境說明本案例為某實驗性網(wǎng)絡(luò)，內(nèi)部主機(jī)使用公有IP地址。核心交換機(jī)上部署了科來回溯式分析服務(wù)器，通過端口鏡像將內(nèi)部網(wǎng)絡(luò)的流量導(dǎo)入回溯式分析服務(wù)器。2.案例分析某日上午在分析系統(tǒng)控制臺上將趨勢圖表設(shè)置為“TCP分析”狀態(tài)時，偶然發(fā)現(xiàn)有兩個時刻網(wǎng)絡(luò)中TCP同步包數(shù)量明顯增多。TCP同步包最多時達(dá)到了TCP同步確認(rèn)包的兩倍還多，而通常情況下TCP同步包數(shù)量只會略多于TCP同步確認(rèn)包。于是我選取了其中一個峰值約15秒的時間段，在“IP地址”瀏覽頁面按照“發(fā)TCP同步包”進(jìn)行排名，發(fā)現(xiàn)某IP地址15秒內(nèi)發(fā)送了773個TCP同步包排名第一，而該IP總發(fā)包量才868個。這顯然不是一個正?，F(xiàn)象。'發(fā)包數(shù)即％同歩包前3,誚顯有問題円I；WE-MS'發(fā)包數(shù)即％同歩包前3,誚顯有問題円I；WE-MSLLEWS-

渣打UBn.71u=3awa.7*J■431關(guān)LiLWWKMS■QUM■own54774QWMLZOMt?(W53WL2"4Hfluor4723L7期d.LU迪H7ALMMS227闊L$5aL>?S生2ALLLQLLLam如l!Saw阿tf?40.L*a-aLIA244MiLW5H!7Q3I.V7L5畑財-4:LWU?5于是下載該IP的數(shù)據(jù)包進(jìn)行深入分析。在IP會話列表中看到該IP地址與內(nèi)網(wǎng)的每一個IP都有IP會話，這是對網(wǎng)段內(nèi)所有主機(jī)進(jìn)行掃描的典型特征。嚴(yán)吁豈苗jii可麗T耐可缶可耳麗"T曲二丹■珂jjj叮花吩玄「丄■中TWT應(yīng)￡[?兩兩呂冒卜?MLn.-re.TLij&9l映耳冷1UNL2J.n.7MJi.LZkT^rjjj*豈LtfcTftTdJt■LE.TtTTJJE3L^^TSdli壬LB-.TtTkl.1B-9l迪耳nuW：T咚.LZSTftTMJji.5iDi7t?5.l.li9LZkTfradJE3旦樂柚E寶L?^7A.TLLII呦LJ3-.TO.mjt9L；客花齊IM■LU.Tfi.7UJI窮^^KdHrfC ￡Cd4cMW:1M?C?J4^C禹 a L4j-e 謹(jǐn)e>:<』 j j*如3⑧3篇主機(jī)丐在嚅掃描廳口輸膵-2rouw2M 1 LK-3 LW9賓 a 辱Q LUeda j, a_oe dKJ4MUd4^￡WdX02T-1--±B^Ta*nI知]LZ3-.TS.rk11tilM■右ft!MdM*naa—?T-1--±B^Ta*nI知]LZ3-.TS.rk11tilM■右ft!MdM*naa—?ssfis.J■-SdtEFE39#CIftffixairrcl-ua1CP-MwrDH344E31W29唧D8!■■ue-21ELMiW-L-WJTiL-U-1krUQiD:Jia.■Sd1AMlIAML*?9*IB?OdwDL2JB44E-214FKL4OL'U9□ft03B也Bi1軒LTffiUJhH)L-U*1hrU鼻Q:>31a.■5d11MugMUSL?I?9MH)]n?b■+MBE5flftlAJ!)OT:1AJCMilCt1ts?e時t7sW-L?TL軒ZIZ3Ivt時iA3L3岀E￡Si1ML?CSMM!^1mS4Kr-T3CT:LWmtLjya3*扌iwiiCtiMl&冊E-右s殆LZdJd?O□FWS.VIril].T>IICI.UuMU3MlIJUAijsraOF55-J.U-!<】鄧“BLI(?ftli-u?W:l-WIpteE：75悴1+悴1+UiuaM￡￡[jL]ILLi?H1A2gL3gLK?M91CP--MwrDMSJ-4Mt-*5TOIJc^S碎90BSg妙E-1S歸4*亠H?LE41卓【iirplg|J=i込M”盜Ji￡rtp■□二川■口9irv-hu rep-*i口:|b?E'A'|WL,居川.-■'TCWh■匚Mg44LJ1H.7LLMr> ■■衛(wèi)TCEifcTi^L-rW-Vffl打?5r=?ws,■斗EM■dLH.Tl.-njlI-WCW!SLaID?-■?■!>ZqD3]?Uftl.*?3E■L3?訓(xùn)話1"砂-：■1闖$([PSIt0B11?|iL?WiLii?-￡?ahVtqL衛(wèi)aaa]IK14i}GKL-klG；從上圖中可以看出攻擊者對每臺主機(jī)發(fā)送了至少3個TCP同步報文，目標(biāo)端口是每臺主機(jī)的RPC(135)、MSSQL(1433)和CIFS(445)。圖中數(shù)據(jù)包總量為3的是主機(jī)不存在或未作響應(yīng)；數(shù)據(jù)包為6的是主機(jī)對掃描著回應(yīng)了TCP重置或ICMP目標(biāo)不可達(dá)消息，表示攻擊者訪問的端口沒有開放；而有幾臺主機(jī)與攻擊者交換了幾十個數(shù)據(jù)包，說明在這幾臺主機(jī)上的上述3個端口有一個或多個可以訪問，攻擊者對這幾臺主機(jī)進(jìn)行了深入的漏洞掃描。TCP135和445是用于Windows遠(yuǎn)程過程調(diào)用和文件共享的端口。在Windows2003SP1之前的系統(tǒng)中這兩個服務(wù)存在比較大的漏洞，常被一些蠕蟲病毒利用，如早年的沖擊波和震蕩波，攻擊者也會利用這兩個端口對系統(tǒng)進(jìn)行入侵。TCP1433是SQLServer的服務(wù)端口。黑客可以利用它進(jìn)行弱口令嘗試，如果成功就可能獲得目標(biāo)主機(jī)的系統(tǒng)權(quán)限。為了看到攻擊者對那幾臺開放端口的主機(jī)做了什么，我把界面切換到“TCP會話”深入分析攻擊者進(jìn)行漏洞掃描的行為。砧e揮[麗|~FrSirT尊巳評1號工1憂=旦1'弓莎飛孑士1』k ■盂ET而T喬|此次針對SQLServer的掃描每次會話為11到12個報文不等，選取其中某個會話在數(shù)據(jù)流頁面中能夠明顯看到攻擊者在嘗試sa口令，上圖中服務(wù)器的回應(yīng)數(shù)據(jù)我看不太明白，只是從服務(wù)器在回應(yīng)口令嘗試后立刻終止了會話來推測此次嘗試并未成功。Te它詡理 1t弼bm~ifflwns■ffSETrame：J3C1D=E-|_T-I5:L43J心RM申T■口上=t?biabEFi■JiLEXIE.Liaguj：euipurtaEAkpini'>HTia?iEdCF：尸鳥丸祿-[1世rgrwrtrt樣I】Te它詡理 1t弼bm~ifflwns■ffSETrame：J3C1D=E-|_T-I5:L43J心RM申T■口上=t?biabEFi■JiLEXIE.Liaguj：euipurtaEAkpini'>HTia?iEdCF：尸鳥丸祿-[1世rgrwrtrt樣I】ji■■馬龍*±=|匚"mezm：■:vsAdd^uLJ1235L9L膠1瞰L.J4E?QLWD?LL均北田uotKxniLMMDOO 刃蔚1■耶尬4C汕□；再10LPTlSLAL1C>AAJIC03羽UTD4D0■3AG1TJSCMMOl朋XKHNqtsnsi^ffwi?7?,!1Tifi-praiat!iut7IWh\ITEfELX、gL3W-LJM3?EL屮聞LSELZW-L*J^Mtl-W呼[3gbW呼*CrkL-tUs/recnkuau9口：能柚屜弟II31UU.Fft.F^JJ￡J73LiL2I-i^.n-JJCl!nl?雖吐就EL匾!:諂LS.TtTMHi；皿3口,抵wu民知鱗tNRH*5■-?』MUQL]HL!■■+Mt-iS旳Cl1fi?Let7訊口1a*HEt,5LIL?.u-]] U 3XSLK1WEQL1l?Li-?HET 址 直訪b刪滋.Jtiiil?*13Kc1*3JMUBJ￡G^jM9從針對CIFS的掃描會話的數(shù)據(jù)流視圖中能夠明顯的看出IPC$連接請求，和命名管道的訪問請求，可以看出這是針對Windows2003SP1以前版本”\pipe\browser"命