端口扫描是网络中常见的行为之一。网络管理员利用端口扫描可以检测自己网络的健康状况,用以修补漏洞、制定完善的安全策略;黑客利用端口扫描可以发现目标网络/主机中存在的漏洞,为后续的进一步入侵做准备。本案例是一次典型的针对网络中Windows系统和MS SQL Server数据库服务器漏洞的端口扫描行为。
环境说明:本案例为某实验性网络,内部主机使用公有IP地址。核心交换机上部署了科来回溯式分析服务器,通过端口镜像将内部网络的流量导入回溯式分析服务器。
案例分析:
某日上午在分析系统控制台上将趋势图表设置为“TCP分析”状态时,偶然发现有两个时刻网络中TCP同步包数量明显增多。TCP同步包最多时达到了TCP同步确认包的两倍还多,而通常情况下TCP同步包数量只会略多于TCP同步确认包。于是选取了其中一个峰值约15秒的时间段,在“IP地址”浏览页面按照“发TCP同步包”进行排名,发现某IP地址15秒内发送了773个TCP同步包排名第一,而该IP总发包量才868个。这显然不是一个正常现象。
于是下载该IP的数据包进行深入分析。在IP会话列表中看到该IP地址与内网的每一个IP都有IP会话,这是对网段内所有主机进行扫描的典型特征。
从上图中可以看出攻击者对每台主机发送了至少3个TCP同步报文,目标端口是每台主机的RPC(135)、MSSQL(1433)和CIFS(445)。图中数据包总量为3的是主机不存在或未作响应;数据包为6的是主机对扫描着回应了TCP重置或ICMP目标不可达消息,表示攻击者访问的端口没有开放;而有几台主机与攻击者交换了几十个数据包,说明在这几台主机上的上述3个端口有一个或多个可以访问,攻击者对这几台主机进行了深入的漏洞扫描。
TCP 135和445是用于Windows远程过程调用和文件共享的端口。在Windows 2003 SP1之前的系统中这两个服务存在比较大的漏洞,常被一些蠕虫病毒利用,如早年的冲击波和震荡波,攻击者也会利用这两个端口对系统进行入侵。
TCP 1433是SQL Server的服务端口,黑客可以利用它进行弱口令尝试,如果成功就可能获得目标主机的系统权限。
为了看到攻击者对那几台开放端口的主机做了什么,把界面切换到“TCP会话”,深入分析攻击者进行漏洞扫描的行为。
此次针对SQL Server的扫描每次会话为11到12个报文不等,选取其中某个会话在数据流页面中能够明显看到攻击者在尝试sa口令,从上图中服务器的回应数据,可以判断从服务器在回应口令尝试后立刻终止了会话来推测此次尝试并未成功。
从针对CIFS的扫描会话的数据流视图中能够明显的看出IPC$连接请求,和命名管道的访问请求,可以看出这是针对Windows 2003 SP1以前版本”pipebrowser”命名管道漏洞的攻击尝试。被扫描系统是Windows Server 2003 R2 SP2并不会受到影响。
建议:此次端口扫描过程时间不长,但类似的行为曾多次出现,并且在其他时段发现了数个不的同源IP地址在对内网进行扫描。虽然都没有造成实质的破坏,但还是建议在边缘设备上过滤不必要的TCP端口访问,尤其是135、445、1433等通常只对内网提供服务的端口。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
如何在公共无线网络中拦截端口扫描?
大概一个星期以前,我发现有人在我们的公共网络上运行端口扫描(明显此操作是未授权的)。怎样才能防止公共用户在连接公共无线网的计算机或上网本上进行扫描呢?
-
建立屏障:防止端口扫描与网络监听
网络面临着很多的威胁,那么怎么建立必要的屏障来防止端口扫描和网络监听,从而保障网络的安全和预防黑客的攻击呢?这里给出了几个不错的建议……
-
Windows用户摆脱黑客攻击的方法
上网的时候,经常会发现自己的网络防火墙在不停的发出警报,专家告诉你这就有可能是遭遇了黑客的攻击。那有什么办法来摆脱这些不请自来的黑客么?
-
防火墙能有效阻止端口扫描吗?
问:电脑安装了防火墙和杀毒软件。然而,防火墙发现端口不断被扫描。我怎么才能阻止这种扫描行为?答:保证网络和软件防火墙配置正确,使其只允许明确的业务需求的流量