我們知道如果黑客想入侵一個(gè)網(wǎng)絡(luò)，他需要更多的了解一個(gè)網(wǎng)絡(luò)的信息，包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，哪些主機(jī)在運(yùn)行，有哪些服務(wù)在運(yùn)行，主機(jī)運(yùn)行的是什么系統(tǒng)，以及該系統(tǒng)主機(jī)有沒有其他漏洞，和存在一些弱口令等情況等。只有在充分了解了足夠多的信息之后，入侵才會(huì)變成可能。而黑客入侵之前的掃描是一個(gè)比較長時(shí)間的工作，同時(shí)現(xiàn)象也是比較明顯的。我們通過網(wǎng)絡(luò)分析手段可以很好的把握入侵特征。網(wǎng)絡(luò)掃描工具很多，比較有名的如國產(chǎn)的冰河和國外的X-scan 等軟件。

選用工具：X-SCAN 3.3

目標(biāo)網(wǎng)絡(luò)：本地局域網(wǎng) 192.168.10.1/24

分析軟件：科來網(wǎng)絡(luò)分析系統(tǒng)2010 beta版

分析過程

本文選用的一款比較普遍的網(wǎng)絡(luò)掃描工具X-SCAN 版本為3.3 。我們?cè)趻呙杈W(wǎng)絡(luò)之前需要對(duì)X-SCAN進(jìn)行設(shè)置，具體設(shè)置可以從網(wǎng)上搜一些教程。掃描網(wǎng)絡(luò)為192.168.10.1/24，抓取位置選為本機(jī)抓包方式（即在攻擊主機(jī)上進(jìn)行抓包）。

抓包從X-Scan 掃描開始，到掃描結(jié)束。抓包后的數(shù)據(jù)位10M（中間有些數(shù)據(jù)有其他通信產(chǎn)生）持續(xù)時(shí)間大概為10分鐘。

首先，10分鐘產(chǎn)生10M的數(shù)據(jù)量是不大的，這也就是說單個(gè)主機(jī)的掃描其實(shí)是不占用很多網(wǎng)絡(luò)帶寬的，如圖：

上圖也反映了一些特征，我們看到，抓包網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包長只有111.3Byte，這個(gè)平均包長是偏小的，而且數(shù)據(jù)包大小分析發(fā)現(xiàn)<=64字節(jié)和65-127字節(jié)之間的數(shù)據(jù)占了絕大多少，這就充分說明了網(wǎng)絡(luò)中有大量的小包存在。

我們接下來看下診斷信息能給我們什么提示：

如圖，我們發(fā)現(xiàn)存在大量的診斷事件產(chǎn)生，10M不到的數(shù)據(jù)竟然產(chǎn)生了2W5的診斷條目，而且大多數(shù)是傳輸層的診斷，出現(xiàn)了 TCP端口掃描 等比較危險(xiǎn)的診斷信息。我們看到有兩項(xiàng)的診斷出現(xiàn)次數(shù)較多“TCP連接被拒絕”“TCP重復(fù)的連接嘗試”兩個(gè)診斷大概出現(xiàn)了1W1次以上，我們可以將與這兩個(gè)診斷相關(guān)的信息進(jìn)行提取查看“診斷發(fā)生的地址”然后按照“數(shù)量”來排名發(fā)現(xiàn) 一個(gè)IP  192.168.10.22 這個(gè)IP 發(fā)生的診斷數(shù)據(jù)最多。而且診斷“TCP端口掃描”的源IP 就是192.168.10.22 這個(gè)IP。

我們定位192.168.10.22這個(gè)IP，然后查看TCP會(huì)話選項(xiàng)。如圖：

我們發(fā)現(xiàn) 192.168.10.22這個(gè)IP的會(huì)話數(shù)量很多，而且會(huì)話是很有特征的。我們選取了其中針對(duì)192.168.1.101的21端口的一段會(huì)話進(jìn)行查看，22與101之間的會(huì)話很多，而且都是一樣的特征，建立連接后發(fā)送一次密碼，被拒絕后再發(fā)起另一次會(huì)話。此為明顯的暴力破解FTP密碼行為。除了FTP之外還有針對(duì)445 和139端口的破解，以及內(nèi)網(wǎng)服務(wù)的檢查等。正是這種破解和掃描形成了如此多的會(huì)話條目。

此外，我們可以從日志選項(xiàng)中查看一些現(xiàn)場，以下是日志的截圖：

掃描主機(jī) 在看到 192.168.10.2 有80端口開放后，發(fā)起一些針對(duì)HTTP的探測，用不同的路徑和不同的請(qǐng)求方法，視圖取得HTTP的一些敏感信息和一些可能存在的漏洞。

這種黑客的掃描得出的結(jié)果還是很詳細(xì)和危險(xiǎn)的，在不到10分鐘之內(nèi)，就將一個(gè)局域網(wǎng)內(nèi)的各主機(jī)的存活，服務(wù)，和漏洞情況進(jìn)行了了解，并且取得了一些效果。例如本次掃描發(fā)現(xiàn)一臺(tái)FTP 服務(wù)器的一個(gè)賬號(hào) test 密碼為123456 的情況，這種簡單的密碼和賬號(hào)最好不要留下，及時(shí)的清理。

總結(jié)

掃描行為，主要有三種，ICMP掃描用來發(fā)現(xiàn)主機(jī)存活和拓?fù)?，TCP 用來判斷服務(wù)和破解，UDP確定一些特定的UDP服務(wù)。掃描是入侵的標(biāo)志，掃描的發(fā)現(xiàn)主要是靠平時(shí)抓包分析，和日常的維護(hù)中進(jìn)行。最好能夠?qū)⒖苼黹L期部署在網(wǎng)絡(luò)中，設(shè)定一定的報(bào)警閥值，例如設(shè)置TCP SYN 的閥值和診斷事件的閥值等，此功能是科來2010新功能之一，很好用。

掃描的防御很簡單，可以設(shè)置防火墻，對(duì)ICMP不進(jìn)行回應(yīng)，和嚴(yán)格連接，及會(huì)話次數(shù)限制等。