上圖也反映了一些特征，我們看到，抓包網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包長(zhǎng)只有111.3Byte，這個(gè)平均包長(zhǎng)是偏小的，而且數(shù)據(jù)包大小分析發(fā)現(xiàn)<=64字節(jié)和65-127字節(jié)之間的數(shù)據(jù)占了絕大多少，這就充分說(shuō)明了網(wǎng)絡(luò)中有大量的小包存在。

我們接下來(lái)看下診斷信息能給我們什么提示：

如圖，我們發(fā)現(xiàn)存在大量的診斷事件產(chǎn)生，10M不到的數(shù)據(jù)竟然產(chǎn)生了2W5的診斷條目，而且大多數(shù)是傳輸層的診斷，出現(xiàn)了 TCP端口掃描 等比較危險(xiǎn)的診斷信息。我們看到有兩項(xiàng)的診斷出現(xiàn)次數(shù)較多“TCP連接被拒絕”“TCP重復(fù)的連接嘗試”兩個(gè)診斷大概出現(xiàn)了1W1次以上，我們可以將與這兩個(gè)診斷相關(guān)的信息進(jìn)行提取查看“診斷發(fā)生的地址”然后按照“數(shù)量”來(lái)排名發(fā)現(xiàn) 一個(gè)IP 192.168.10.22 這個(gè)IP 發(fā)生的診斷數(shù)據(jù)最多。而且診斷“TCP端口掃描”的源IP 就是192.168.10.22 這個(gè)IP。

我們定位192.168.10.22這個(gè)IP，然后查看TCP會(huì)話選項(xiàng)。如圖：

我們發(fā)現(xiàn) 192.168.10.22這個(gè)IP的會(huì)話數(shù)量很多，而且會(huì)話是很有特征的。我們選取了其中針對(duì)192.168.1.101的21端口的一段會(huì)話進(jìn)行查看，22與101之間的會(huì)話很多，而且都是一樣的特征，建立連接后發(fā)送一次密碼，被拒絕后再發(fā)起另一次會(huì)話。此為明顯的暴力破解FTP密碼行為。除了 FTP之外還有針對(duì)445 和139端口的破解，以及內(nèi)網(wǎng)服務(wù)的檢查等。正是這種破解和掃描形成了如此多的會(huì)話條目。

此外，我們可以從日志選項(xiàng)中查看一些現(xiàn)場(chǎng)，以下是日志的截圖：

掃描主機(jī) 在看到 192.168.10.2 有80端口開(kāi)放后，發(fā)起一些針對(duì)HTTP的探測(cè)，用不同的路徑和不同的請(qǐng)求方法，視圖取得HTTP的一些敏感信息和一些可能存在的漏洞。

這種黑客的掃描得出的結(jié)果還是很詳細(xì)和危險(xiǎn)的，在不到10分鐘之內(nèi)，就將一個(gè)局域網(wǎng)內(nèi)的各主機(jī)的存活，服務(wù)，和漏洞情況進(jìn)行了了解，并且取得了一些效果。例如本次掃描發(fā)現(xiàn)一臺(tái)FTP 服務(wù)器的一個(gè)賬號(hào) test 密碼為123456 的情況，這種簡(jiǎn)單的密碼和賬號(hào)最好不要留下，及時(shí)的清理。

總結(jié)

掃描行為，主要有三種，ICMP掃描用來(lái)發(fā)現(xiàn)主機(jī)存活和拓?fù)?，TCP 用來(lái)判斷服務(wù)和破解，UDP確定一些特定的UDP服務(wù)。掃描是入侵的標(biāo)志，掃描的發(fā)現(xiàn)主要是靠平時(shí)抓包分析，和日常的維護(hù)中進(jìn)行。最好能夠?qū)⒖苼?lái)長(zhǎng)期部署在網(wǎng)絡(luò)中，設(shè)定一定的報(bào)警閥值，例如設(shè)置TCP SYN 的閥值和診斷事件的閥值等，此功能是科來(lái)2010新功能之一，很好用。

掃描的防御很簡(jiǎn)單，可以設(shè)置防火墻，對(duì)ICMP不進(jìn)行回應(yīng)，和嚴(yán)格連接，及會(huì)話次數(shù)限制等。

zhangcun