利用科来网络分析技术进行端口扫描行为分析

来源:eNet硅谷动力  
2014/3/19 23:18:40
此次端口扫描过程时间不长,但类似的行为曾多次出现,并且在其他时段发现了数个不的同源IP地址在对内网进行扫描。

本文关键字: 科来网络 端口扫描

端口扫描是网络中常见的行为之一。网络管理员利用端口扫描可以检测自己网络的健康状况,用以修补漏洞、制定完善的安全策略;黑客利用端口扫描可以发现目标网络/主机中存在的漏洞,为后续的进一步入侵做准备。本案例是一次典型的针对网络中Windows系统和MSSQL Server数据库服务器漏洞的端口扫描行为。

环境说明:本案例为某实验性网络,内部主机使用公有IP地址。核心交换机上部署了科来回溯式分析服务器,通过端口镜像将内部网络的流量导入回溯式分析服务器。

案例分析:某日上午在分析系统控制台上将趋势图表设置为“TCP分析”状态时,偶然发现有两个时刻网络中TCP同步包数量明显增多。TCP同步包最多时达到了TCP同步确认包的两倍还多,而通常情况下TCP同步包数量只会略多于TCP同步确认包。于是选取了其中一个峰值约15秒的时间段,在“IP地址”浏览页面按照“发TCP同步包”进行排名,发现某IP地址15秒内发送了773个TCP同步包排名第一,而该IP总发包量才868个。这显然不是一个正常现象。于是下载该IP的数据包进行深入分析。在IP会话列表中看到该IP地址与内网的每一个IP都有IP会话,这是对网段内所有主机进行扫描的典型特征。

科来网络分析技术

从上图中可以看出攻击者对每台主机发送了至少3个TCP同步报文,目标端口是每台主机的RPC(135)、MSSQL(1433)和CIFS(445)。图中数据包总量为3的是主机不存在或未作响应;数据包为6的是主机对扫描着回应了TCP重置或ICMP目标不可达消息,表示攻击者访问的端口没有开放;而有几台主机与攻击者交换了几十个数据包,说明在这几台主机上的上述3个端口有一个或多个可以访问,攻击者对这几台主机进行了深入的漏洞扫描。TCP 135和445是用于Windows远程过程调用和文件共享的端口。在Windows2003 SP1之前的系统中这两个服务存在比较大的漏洞,常被一些蠕虫病毒利用,如早年的冲击波和震荡波,攻击者也会利用这两个端口对系统进行入侵。TCP 1433是SQL Server的服务端口,黑客可以利用它进行弱口令尝试,如果成功就可能获得目标主机的系统权限。为了看到攻击者对那几台开放端口的主机做了什么,把界面切换到“TCP会话”,深入分析攻击者进行漏洞扫描的行为。

科来网络分析技术

此次针对SQLServer的扫描每次会话为11到12个报文不等,选取其中某个会话在数据流页面中能够明显看到攻击者在尝试sa口令,从上图中服务器的回应数据,可以判断从服务器在回应口令尝试后立刻终止了会话来推测此次尝试并未成功。

科来网络分析技术

从针对CIFS的扫描会话的数据流视图中能够明显的看出IPC$连接请求,和命名管道的访问请求,可以看出这是针对Windows2003 SP1以前版本”\pipe\browser”命名管道漏洞的攻击尝试。被扫描系统是WindowsServer 2003 R2 SP2并不会受到影响。


建议:此次端口扫描过程时间不长,但类似的行为曾多次出现,并且在其他时段发现了数个不的同源IP地址在对内网进行扫描。虽然都没有造成实质的破坏,但还是建议在边缘设备上过滤不必要的TCP端口访问,尤其是135、445、1433等通常只对内网提供服务的端口。

 

责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918