ZDNet至顶网软件频道消息:端口扫描是网络中较为常见的行为之一,该行为是指端口发送消息,一次只发送一个消息,接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。由此网络管理员通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞,然后修补漏洞、制定完善的安全策略,当然也不排除是黑客攻击网络设备迈出的第一步棋子。本案例就是对MSSQL数据库服务器漏洞的扫描暴力破解行为。
案例分析
本案例是对某法院外网进行的一次监测分析。在核心交换机上部署了科来回溯式服务器,通过在总出口镜像将网络流量导入回溯式服务器,具体部署拓扑图如下:
通过回溯系统抓取几分钟数据,发现1个IP地址异常, 58.180.26.203这个IP地址共建立会话300多个,但是建立成功后会话报文都是小包,平均包长99B,于是选择这段时间段并下载此数据包进行下一步分析。
第一步查看该IP会话列表,发现58.180.26.203在与222.173.35.53(数据库服务器)通讯。数据包基本上是发送5个接收4个,数据包小,时间短暂、频快。而正常情况下同数据库通讯时,当会话成功建立后数据库会发送数据,特点:数据包偏大、时间长、频率稍微慢。可以推断,可能是外网用户在攻击本网络中的数据库,攻击者利用MSSQL的TCP 1433号端口,不断尝试利用弱口令尝试,如果成功的话就能获得目标主机的权限。
为了进一步验证判断,接下第二步来查看TCP会话的数据流。发现该地址对SQL SERVER每次会话扫描8到10报文不等,选择其中一个会话,查看数据流,发现攻击者果真正在尝试sa口令。如下图:
进行第三步分析,查看TCP会话时序图,双方会话建立成功后通讯数据很少,服务器在回应对方的尝试后,立刻终止了此会话,通过仔细查看300多个会话推测这些尝试并没有成功。
由此断定数据库服务器(222.173.35.53)遭到外网地址攻击。与网络管理员确认得知此地址确实是外网网站地址的数据库地址。为了进一步的安全考虑,尝试用站长工具进行一次端口扫描,查看网络中还有哪些端口是打开的。发现222.173.35.53:21、222.173.35.53:3389、222.173.35.53:1433这3个端口是开放的,且是黑客常攻击的端口。
为了进一步弄清58.180.26.203这个地址,登陆到站长工具查看发现是韩国的地址。
然后对其进行一次端口扫描,其3389端口也打开了,远程登陆不成功。
分析结论
由于此次抓包时间较短,未能完全将黑客的行为及结果分析透彻,若黑客继续攻击则有可能成功破解数据库密码,给用户带来不可估量损失。因此建议网络管理员在防火墙上做安全策略,拒绝外网用户访问MSSQL的1433端口,只对内部网络用户开放。另外对FTP的21和远程登陆为3389的端口拒绝外网访问或者关掉。
好文章,需要你的鼓励
在迪拜Gitex 2025大会上,阿联酋成为全球AI领导者的雄心备受关注。微软正帮助该地区组织从AI实验阶段转向实际应用,通过三重方法提供AI助手、协同AI代理和AI战略顾问。微软已在阿联酋大举投资数据中心,去年培训了10万名政府员工,计划到2027年培训100万学习者。阿联酋任命了全球首位AI部长,各部门都配备了首席AI官。微软与政府机构和企业合作,在公民服务和金融流程等领域实现AI的实际应用,构建全面的AI生态系统。
查尔斯大学和意大利布鲁诺·凯斯勒基金会的研究团队首次系统性解决了同声传译AI系统延迟评估的准确性问题。他们发现现有评估方法存在严重偏差,常给出相互矛盾的结果,并提出了YAAL新指标和SOFTSEGMENTER对齐工具。YAAL准确性达96%,比传统方法提升20多个百分点。研究还开发了专门的长音频评估工具LongYAAL,为AI翻译技术发展提供了可靠的测量标准。
苹果与俄亥俄州立大学研究人员发布名为FS-DFM的新模型,采用少步离散流匹配技术,仅需8轮快速优化即可生成完整长文本,效果媲美需要上千步骤的扩散模型。该模型通过三步训练法:处理不同优化预算、使用教师模型指导、调整迭代机制来实现突破。测试显示,参数量仅1.7亿至17亿的FS-DFM变体在困惑度和熵值指标上均优于70-80亿参数的大型扩散模型。
印度理工学院团队构建了史上最大规模印度文化AI测试基准DRISHTIKON,包含64288道多语言多模态题目,覆盖15种语言和36个地区。研究评估了13个主流AI模型的文化理解能力,发现即使最先进的AI也存在显著文化盲区,特别是在低资源语言和复杂推理任务上表现不佳,为构建文化感知AI提供了重要指导。