案例背景@@

  选用工具@@:X-SCAN 3.3

  目标网络@@:本地局域网@@ 192.168.10.1/24

  分析软件@@:科来@@网络分析系统@@2010 beta版@@

  众所周知@@@@,如果黑客@@想入侵一个网络@@,他需要更多@@的@@了解一个网络的@@信息@@,包括网络拓扑结构@@,有@@哪些主机在运行@@,有@@哪些服务@@在运行@@,主机运行的@@是什么系统@@,以及该系统主机有@@没有@@其他漏洞@@,是否存在一些弱口令等情况等@@。 只有@@在充分了解足够多的@@信息之后@@,入侵才会变成可能@@。而黑客@@入侵之前的@@扫描是一个比较长时间的@@工作@@,同时现象也是比较明显的@@@@。我们通过网络分析手段可以很好的@@把握入侵特征@@。网络扫描工具很多@@,比较有@@名的@@如国产的@@冰河和@@国外的@@@@X-scan 等软件@@。

  案例分析@@

  本文选用的@@一款比较普遍的@@网络扫描工具@@X-SCAN 版@@本为@@3.3 。我们在扫描网络之前需要对@@@@X-SCAN进行设置@@,具体设置可以从网上搜一些教程@@。扫描网络为@@192.168.10.1/24,抓取位置选为本机抓包方式@@(即在攻击主机上进行抓包@@)。

  抓包从@@X-Scan 扫描开始@@,到扫描结束@@@@。抓包后的@@数据位@@10M(中间有@@些数据有@@其他通信产生@@)持续时间大概为@@10分钟@@。首先@@,10分钟@@产生@@10M的@@数据量是不大的@@@@,这也就是@@说单个主机的@@扫描其实是不占用很多网络带宽的@@@@,如下图@@:

  上图也反映了一些特征@@,我们看到@@,抓包网络内的@@数据包长只有@@@@111.3Byte,这个@@平均包长是偏小的@@@@,而且数据包大小分析发现@@@@<=64字节和@@@@65-127字节之间的@@数据占了绝大多少@@,这就充分说明了网络中有@@大量的@@小包存在@@。

  接下来@@,我们看下科来@@网络分析系统@@的@@诊断信息能给我们什么提示@@。我们发现@@大量的@@诊断事件产生@@,10M不到的@@数据竟然产生了@@2W5的@@诊断条目@@,而且大多数是传输层的@@诊断@@,出现了@@ TCP端口扫描@@等比较危险的@@诊断信息@@。我们看到@@有@@两项的@@诊断出现次@@数较多@@“TCP连接被拒绝@@”“TCP重复的@@连接尝试@@”两个诊断大概出现了@@@@1W1次@@以上@@,我们可以将与@@这两个诊断相关的@@信息进行提取查看@@@@“诊断发生的@@地址@@”然后按照@@“数量@@”来排名发现@@一个@@IP  192.168.10.22 这个@@IP 发生的@@诊断数据最多@@,且诊断@@“TCP端口扫描@@”的@@源@@IP 就是@@192.168.10.22 这个@@IP。

  我们定位@@192.168.10.22这个@@IP,然后查看@@@@TCP会话选项@@。如下图@@:

  发现@@192.168.10.22这个@@IP的@@会话数量@@很多@@,而且会话是很有@@特征的@@@@。我们选取了其中针对@@@@192.168.1.101的@@21端口的@@一段会话进行查看@@@@,192.168.10.22与@@192.168.10.101之间的@@会话很多@@,而且都是一样的@@特征@@,建立连接后发送一次@@密码@@,被拒绝后再发起另一次@@会话@@。此为明显的@@暴力破解@@FTP密码行为@@。除了@@FTP之外还有@@针对@@@@445 和@@139端口的@@破解@@,以及内网服务@@的@@检查等@@。正是这种破解和@@扫描形成了如此多的@@会话条目@@。

  此外@@,我们可以通过@@HTTP请求日志查看@@一些情况@@。扫描主机在看到@@ 192.168.10.2 有@@80端口开放后@@,发起了一些针对@@@@HTTP的@@探测@@,用不同的@@路径和@@不同的@@请求方法@@,试图取得@@HTTP的@@一些敏感信息和@@一些可能存在的@@漏洞@@。

  这种黑客@@扫描得出的@@结果是很详细和@@危险的@@@@,在不到@@10分钟@@之内@@,就将一个局域网内的@@各主机的@@存活@@、服务@@和@@漏洞情况进行了了解@@,并且取得了一些成果@@。例如@@:本次@@扫描发现@@一台@@FTP 服务@@器的@@一个账号@@ test 密码为@@123456 的@@情况@@(建议这种简单的@@密码和@@账号最好不要留下@@,应及时的@@清理@@)。

  案例总结@@

  扫描行为@@,主要有@@三种@@:ICMP扫描用来发现@@主机存活和@@拓扑@@,TCP 用来判断服务@@和@@破解@@,UDP确定一些特定的@@@@UDP服务@@。扫描是入侵的@@标志@@,扫描的@@发现@@主要是靠平时抓包分析@@,和@@日常的@@维护中进行@@。最好能够将科来@@长期部署在网络中@@,设定一定的@@报警阀值@@,例如@@设置@@TCP SYN 的@@阀值和@@诊断事件的@@阀值等@@,很好用@@。

  扫描的@@防御很简单@@,可以设置防火墙@@,对@@ICMP不进行回应@@,和@@严格连接@@,及会话次@@数限制等@@。

责任编辑@@:admin