选用工具:X-SCAN 3.3
目标网络:本地局域网 192.168.10.1/24
分析软件:科来网络分析系统2010 beta版
众所周知,如果黑客想入侵一个网络,他需要更多的了解一个网络的信息,包括网络拓扑结构,有哪些主机在运行,有哪些服务在运行,主机运行的是什么系统,以及该系统主机有没有其他漏洞,是否存在一些弱口令等情况等。只有在充分了解足够多的信息之后,入侵才会变成可能。而黑客入侵之前的扫描是一个比较长时间的工作,同时现象也是比较明显的。我们通过网络分析手段可以很好的把握入侵特征。网络扫描工具很多,比较有名的如国产的冰河和国外的X-scan 等软件。
案例分析
本文选用的一款比较普遍的网络扫描工具X-SCAN 版本为3.3 。我们在扫描网络之前需要对X-SCAN进行设置,具体设置可以从网上搜一些教程。扫描网络为192.168.10.1/24,抓取位置选为本机抓包方式(即在攻击主机上进行抓包)。
抓包从X-Scan 扫描开始,到扫描结束。抓包后的数据位10M(中间有些数据有其他通信产生)持续时间大概为10分钟。首先,10分钟产生10M的数据量是不大的,这也就是说单个主机的扫描其实是不占用很多网络带宽的,如下图:
上图也反映了一些特征,我们看到,抓包网络内的数据包长只有111.3Byte,这个平均包长是偏小的,而且数据包大小分析发现<=64字节和65-127字节之间的数据占了绝大多少,这就充分说明了网络中有大量的小包存在。
接下来,我们看下科来网络分析系统的诊断信息能给我们什么提示。我们发现大量的诊断事件产生,10M不到的数据竟然产生了2W5的诊断条目,而且大多数是传输层的诊断,出现了 TCP端口扫描等比较危险的诊断信息。我们看到有两项的诊断出现次数较多“TCP连接被拒绝”“TCP重复的连接尝试”两个诊断大概出现了1W1次以上,我们可以将与这两个诊断相关的信息进行提取查看“诊断发生的地址”然后按照“数量”来排名发现一个IP 192.168.10.22 这个IP 发生的诊断数据最多,且诊断“TCP端口扫描”的源IP 就是192.168.10.22 这个IP。
我们定位192.168.10.22这个IP,然后查看TCP会话选项。如下图:
发现192.168.10.22这个IP的会话数量很多,而且会话是很有特征的。我们选取了其中针对192.168.1.101的21端口的一段会话进行查看,192.168.10.22与192.168.10.101之间的会话很多,而且都是一样的特征,建立连接后发送一次密码,被拒绝后再发起另一次会话。此为明显的暴力破解FTP密码行为。除了FTP之外还有针对445 和139端口的破解,以及内网服务的检查等。正是这种破解和扫描形成了如此多的会话条目。
此外,我们可以通过HTTP请求日志查看一些情况。扫描主机在看到 192.168.10.2 有80端口开放后,发起了一些针对HTTP的探测,用不同的路径和不同的请求方法,试图取得HTTP的一些敏感信息和一些可能存在的漏洞。
这种黑客扫描得出的结果是很详细和危险的,在不到10分钟之内,就将一个局域网内的各主机的存活、服务和漏洞情况进行了了解,并且取得了一些成果。例如:本次扫描发现一台FTP 服务器的一个账号 test 密码为123456 的情况(建议这种简单的密码和账号最好不要留下,应及时的清理)。
案例总结
扫描行为,主要有三种:ICMP扫描用来发现主机存活和拓扑,TCP 用来判断服务和破解,UDP确定一些特定的UDP服务。扫描是入侵的标志,扫描的发现主要是靠平时抓包分析,和日常的维护中进行。最好能够将科来长期部署在网络中,设定一定的报警阀值,例如设置TCP SYN 的阀值和诊断事件的阀值等,很好用。
扫描的防御很简单,可以设置防火墙,对ICMP不进行回应,和严格连接,及会话次数限制等。
好文章,需要你的鼓励
zip2zip是一项创新技术,通过引入动态自适应词汇表,让大语言模型在推理时能够自动组合常用词组,显著提高处理效率。由EPFL等机构研究团队开发的这一方法,基于LZW压缩算法,允许模型即时创建和使用"超级tokens",将输入和输出序列长度减少20-60%,大幅提升推理速度。实验表明,现有模型只需10个GPU小时的微调即可适配此框架,在保持基本性能的同时显著降低计算成本和响应时间,特别适用于专业领域和多语言场景。
这项研究创新性地利用大语言模型(LLM)代替人类标注者,创建了PARADEHATE数据集,用于仇恨言论的无毒化转换。研究团队首先验证LLM在无毒化任务中表现可与人类媲美,随后构建了包含8000多对仇恨/非仇恨文本的平行数据集。评估显示,在PARADEHATE上微调的模型如BART在风格准确性、内容保留和流畅性方面表现优异,证明LLM生成的数据可作为人工标注的高效替代方案,为创建更安全、更具包容性的在线环境提供了新途径。
这项研究由中国科学技术大学的研究团队提出了Pro3D-Editor,一种新型3D编辑框架,通过"渐进式视角"范式解决了现有3D编辑方法中的视角不一致问题。传统方法要么随机选择视角迭代编辑,要么同时编辑多个固定视角,都忽视了不同编辑任务对应不同的"编辑显著性视角"。Pro3D-Editor包含三个核心模块:主视角采样器自动选择最适合编辑的视角,关键视角渲染器通过创新的MoVE-LoRA技术将编辑信息传递到其他视角,全视角精修器修复并优化最终3D模型。实验证明该方法在编辑质量和准确性方面显著优于现有技术。
这项研究提出了ComposeAnything,一个无需重新训练的框架,可显著提升AI图像生成模型处理复杂空间关系的能力。该技术由INRIA、巴黎高师和CNRS的研究团队开发,通过三个创新步骤工作:首先利用大型语言模型创建包含深度信息的2.5D语义布局,然后生成粗略的场景合成图作为先验指导,最后通过物体先验强化和空间控制去噪引导扩散过程。在T2I-CompBench和NSR-1K基准测试中,该方法远超现有技术,特别是在处理复杂空间关系和多物体场景时表现卓越,为AI辅助创意设计开辟新可能。