1、 1 / 5一次端口扫描行为的分析案例端口扫描是网络中常见的行为之一。网络管理员利用端口扫描可以检测自己网络的健康状况,用以修补漏洞、制定完善的安全策略;黑客利用端口扫描可以发现目标网络/主机中存在的漏洞,为后续的进一步入侵做准备。本案例是一次典型的针对网络中 Windows 系统和 MS SQL Server 数据库服务器漏洞的端口扫描行为。环境说明:本案例为某实验性网络,内部主机使用公有 IP 地址。核心交换机上部署了科来回溯式分析服务器,通过端口镜像将内部网络的流量导入回溯式分析服务器。案例分析:某日上午在分析系统控制台上将趋势图表设置为“TCP 分析”状态时,偶然发现有两个时刻网络中
2、TCP 同步包数量明显增多。TCP 同步包最多时达到了 TCP 同步确认包的两倍还多,而通常情况下 TCP 同步包数量只会略多于 TCP 同步确认包。于是我选取了其中一个峰值约 15 秒的时间段,在“IP 地址”浏览页面按照“发 TCP 同步包”进行排名,发现某 IP地址 15 秒内发送了 773 个 TCP 同步包排名第一,而该 IP 总发包量才 868 个。这显然不是一个正常现象。2 / 5于是下载该 IP 的数据包进行深入分析。在 IP 会话列表中看到该 IP 地址与内网的每一个 IP 都有 IP 会话,这是对网段内所有主机进行扫描的典型特征。从上图中可以看出攻击者对每台主机发送了至少
3、3 个 TCP 同步报文,目标端口是每台主机的 RPC( 135) 、MSSQL(1433)和 CIFS(445) 。图中数据包总量为 3 的是主机不存在或未作响应;数据包为 6 的是主机对扫描着回应了 TCP 重置或 ICMP 目标不可达消息,3 / 5表示攻击者访问的端口没有开放;而有几台主机与攻击者交换了几十个数据包,说明在这几台主机上的上述 3 个端口有一个或多个可以访问,攻击者对这几台主机进行了深入的漏洞扫描。TCP 135 和 445 是用于 Windows 远程过程调用和文件共享的端口。在 Windows 2003 SP1 之前的系统中这两个服务存在比较大的漏洞,常被一些蠕虫病毒
4、利用,如早年的冲击波和震荡波,攻击者也会利用这两个端口对系统进行入侵。TCP 1433 是 SQL Server 的服务端口。黑客可以利用它进行弱口令尝试,如果成功就可能获得目标主机的系统权限。为了看到攻击者对那几台开放端口的主机做了什么,我把界面切换到“TCP 会话” ,深入分析攻击者进行漏洞扫描的行为。此次针对 SQL Server 的扫描每次会话为 11 到 12 个报文不等,选取其中某个会话在数据流页面中能够明显看到攻击者在尝试 sa 口令,上图中服务器的回应数据我看不太明白,只是从服务器在回应口令尝试后立刻终止了会话来推测此次尝试并未成功。4 / 5从针对 CIFS 的扫描会话的数据流视图中能够明显的看出 IPC$连接请求,和命名管道的访问请求,可以看出这是针对 Windows 2003 SP1 以前版本”pipebrowser”命名管道漏洞的攻击尝试。被扫描系统是 Windows Server 2003 R2 SP2 并不会受到影响。建议:此次端口扫描过程时间不长,但类似的行为曾多次出现,并且在其他时段发现了数个不的同源 IP 地址在对内网进行扫描。虽然都没有造成实质的破坏,但还是建议在边缘设备上过滤不必要的 TCP 端口访问,尤其是 135、445、1433 等通常只对内网提供服务的5 / 5端口。
