压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　背景

　　選用工具：X-SCAN 3.3

　　目標(biāo)網(wǎng)絡(luò)：本地局域網(wǎng) 192.168.10.1/24

　　分析軟件：科來(lái)網(wǎng)絡(luò)分析系統(tǒng)2010 beta版

　　眾所周知，如果黑客想入侵一個(gè)網(wǎng)絡(luò)，他需要更多的了解一個(gè)網(wǎng)絡(luò)的信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，有哪些主機(jī)在運(yùn)行，有哪些服務(wù)在運(yùn)行，主機(jī)運(yùn)行的是什么系統(tǒng)，以及該系統(tǒng)主機(jī)有沒(méi)有其他漏洞，是否存在一些弱口令等情況等。只有在充分了解足夠多的信息之后，入侵才會(huì)變成可能。而黑客入侵之前的掃描是一個(gè)比較長(zhǎng)時(shí)間的工作，同時(shí)現(xiàn)象也是比較明顯的。我們通過(guò)網(wǎng)絡(luò)分析手段可以很好的把握入侵特征。網(wǎng)絡(luò)掃描工具很多，比較有名的如國(guó)產(chǎn)的冰河和國(guó)外的X-scan 等軟件。

　　分析

　　本文選用的一款比較普遍的網(wǎng)絡(luò)掃描工具X-SCAN 版本為3.3 。我們?cè)趻呙杈W(wǎng)絡(luò)之前需要對(duì)X-SCAN進(jìn)行設(shè)置，具體設(shè)置可以從網(wǎng)上搜一些教程。掃描網(wǎng)絡(luò)為192.168.10.1/24，抓取位置選為本機(jī)抓包方式（即在攻擊主機(jī)上進(jìn)行抓包）。

　　抓包從X-Scan 掃描開(kāi)始，到掃描結(jié)束。抓包后的數(shù)據(jù)位10M（中間有些數(shù)據(jù)有其他通信產(chǎn)生）持續(xù)時(shí)間大概為10分鐘。首先，10分鐘產(chǎn)生10M的數(shù)據(jù)量是不大的，這也就是說(shuō)單個(gè)主機(jī)的掃描其實(shí)是不占用很多網(wǎng)絡(luò)帶寬的，如下圖：

　　利用黑客工具進(jìn)行滲透的數(shù)據(jù)分析

　　上圖也反映了一些特征，我們看到，抓包網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包長(zhǎng)只有111.3Byte，這個(gè)平均包長(zhǎng)是偏小的，而且數(shù)據(jù)包大小分析發(fā)現(xiàn)<=64字節(jié)和65-127字節(jié)之間的數(shù)據(jù)占了絕大多少，這就充分說(shuō)明了網(wǎng)絡(luò)中有大量的小包存在。

　　接下來(lái)，我們看下科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的診斷信息能給我們什么提示。我們發(fā)現(xiàn)大量的診斷事件產(chǎn)生，10M不到的數(shù)據(jù)竟然產(chǎn)生了2W5的診斷條目，而且大多數(shù)是傳輸層的診斷，出現(xiàn)了 TCP端口掃描等比較危險(xiǎn)的診斷信息。我們看到有兩項(xiàng)的診斷出現(xiàn)次數(shù)較多“TCP連接被拒絕”“TCP重復(fù)的連接嘗試”兩個(gè)診斷大概出現(xiàn)了1W1次以上，我們可以將與這兩個(gè)診斷相關(guān)的信息進(jìn)行提取查看“診斷發(fā)生的地址”然后按照“數(shù)量”來(lái)排名發(fā)現(xiàn)一個(gè)IP  192.168.10.22 這個(gè)IP 發(fā)生的診斷數(shù)據(jù)最多，且診斷“TCP端口掃描”的源IP 就是192.168.10.22 這個(gè)IP。

　　我們定位192.168.10.22這個(gè)IP，然后查看TCP會(huì)話選項(xiàng)。如下圖：

　　利用黑客工具進(jìn)行滲透的數(shù)據(jù)分析

　　發(fā)現(xiàn)192.168.10.22這個(gè)IP的會(huì)話數(shù)量很多，而且會(huì)話是很有特征的。我們選取了其中針對(duì)192.168.1.101的21端口的一段會(huì)話進(jìn)行查看，192.168.10.22與192.168.10.101之間的會(huì)話很多，而且都是一樣的特征，建立連接后發(fā)送一次密碼，被拒絕后再發(fā)起另一次會(huì)話。此為明顯的暴力破解FTP密碼行為。除了FTP之外還有針對(duì)445 和139端口的破解，以及內(nèi)網(wǎng)服務(wù)的檢查等。正是這種破解和掃描形成了如此多的會(huì)話條目。

　　此外，我們可以通過(guò)HTTP請(qǐng)求日志查看一些情況。掃描主機(jī)在看到 192.168.10.2 有80端口開(kāi)放后，發(fā)起了一些針對(duì)HTTP的探測(cè)，用不同的路徑和不同的請(qǐng)求方法，試圖取得HTTP的一些敏感信息和一些可能存在的漏洞。

　　這種黑客掃描得出的結(jié)果是很詳細(xì)和危險(xiǎn)的，在不到10分鐘之內(nèi)，就將一個(gè)局域網(wǎng)內(nèi)的各主機(jī)的存活、服務(wù)和漏洞情況進(jìn)行了了解，并且取得了一些成果。例如：本次掃描發(fā)現(xiàn)一臺(tái)FTP 服務(wù)器的一個(gè)賬號(hào) test 密碼為123456 的情況（建議這種簡(jiǎn)單的密碼和賬號(hào)最好不要留下，應(yīng)及時(shí)的清理）。

　　總結(jié)

　　掃描行為，主要有三種：ICMP掃描用來(lái)發(fā)現(xiàn)主機(jī)存活和拓?fù)?，TCP 用來(lái)判斷服務(wù)和破解，UDP確定一些特定的UDP服務(wù)。掃描是入侵的標(biāo)志，掃描的發(fā)現(xiàn)主要是靠平時(shí)抓包分析，和日常的維護(hù)中進(jìn)行。最好能夠?qū)⒖苼?lái)長(zhǎng)期部署在網(wǎng)絡(luò)中，設(shè)定一定的報(bào)警閥值，例如設(shè)置TCP SYN 的閥值和診斷事件的閥值等，很好用。

　　掃描的防御很簡(jiǎn)單，可以設(shè)置防火墻，對(duì)ICMP不進(jìn)行回應(yīng)，和嚴(yán)格連接，及會(huì)話次數(shù)限制等。