选用工具:X-SCAN 3.3
目标网络:本地局域网 192.168.10.1/24
分析软件:科来网络分析系统2010 beta版
众所周知,如果黑客想入侵一个网络,他需要更多的了解一个网络的信息,包括网络拓扑结构,有哪些主机在运行,有哪些服务在运行,主机运行的是什么系统,以及该系统主机有没有其他漏洞,是否存在一些弱口令等情况等。只有在充分了解足够多的信息之后,入侵才会变成可能。而黑客入侵之前的扫描是一个比较长时间的工作,同时现象也是比较明显的。我们通过网络分析手段可以很好的把握入侵特征。网络扫描工具很多,比较有名的如国产的冰河和国外的X-scan 等软件。
案例分析
本文选用的一款比较普遍的网络扫描工具X-SCAN 版本为3.3 。我们在扫描网络之前需要对X-SCAN进行设置,具体设置可以从网上搜一些教程。扫描网络为192.168.10.1/24,抓取位置选为本机抓包方式(即在攻击主机上进行抓包)。
抓包从X-Scan 扫描开始,到扫描结束。抓包后的数据位10M(中间有些数据有其他通信产生)持续时间大概为10分钟。首先,10分钟产生10M的数据量是不大的,这也就是说单个主机的扫描其实是不占用很多网络带宽的,如下图:
上图也反映了一些特征,我们看到,抓包网络内的数据包长只有111.3Byte,这个平均包长是偏小的,而且数据包大小分析发现<=64字节和65-127字节之间的数据占了绝大多少,这就充分说明了网络中有大量的小包存在。
接下来,我们看下科来网络分析系统的诊断信息能给我们什么提示。我们发现大量的诊断事件产生,10M不到的数据竟然产生了2W5的诊断条目,而且大多数是传输层的诊断,出现了 TCP端口扫描等比较危险的诊断信息。我们看到有两项的诊断出现次数较多“TCP连接被拒绝”“TCP重复的连接尝试”两个诊断大概出现了1W1次以上,我们可以将与这两个诊断相关的信息进行提取查看“诊断发生的地址”然后按照“数量”来排名发现一个IP 192.168.10.22 这个IP 发生的诊断数据最多,且诊断“TCP端口扫描”的源IP 就是192.168.10.22 这个IP。
我们定位192.168.10.22这个IP,然后查看TCP会话选项。如下图:
发现192.168.10.22这个IP的会话数量很多,而且会话是很有特征的。我们选取了其中针对192.168.1.101的21端口的一段会话进行查看,192.168.10.22与192.168.10.101之间的会话很多,而且都是一样的特征,建立连接后发送一次密码,被拒绝后再发起另一次会话。此为明显的暴力破解FTP密码行为。除了FTP之外还有针对445 和139端口的破解,以及内网服务的检查等。正是这种破解和扫描形成了如此多的会话条目。
此外,我们可以通过HTTP请求日志查看一些情况。扫描主机在看到 192.168.10.2 有80端口开放后,发起了一些针对HTTP的探测,用不同的路径和不同的请求方法,试图取得HTTP的一些敏感信息和一些可能存在的漏洞。
这种黑客扫描得出的结果是很详细和危险的,在不到10分钟之内,就将一个局域网内的各主机的存活、服务和漏洞情况进行了了解,并且取得了一些成果。例如:本次扫描发现一台FTP 服务器的一个账号 test 密码为123456 的情况(建议这种简单的密码和账号最好不要留下,应及时的清理)。
案例总结
扫描行为,主要有三种:ICMP扫描用来发现主机存活和拓扑,TCP 用来判断服务和破解,UDP确定一些特定的UDP服务。扫描是入侵的标志,扫描的发现主要是靠平时抓包分析,和日常的维护中进行。最好能够将科来长期部署在网络中,设定一定的报警阀值,例如设置TCP SYN 的阀值和诊断事件的阀值等,很好用。
扫描的防御很简单,可以设置防火墙,对ICMP不进行回应,和严格连接,及会话次数限制等。
好文章,需要你的鼓励
OpenAI CEO描绘了AI温和变革人类生活的愿景,但现实可能更复杂。AI发展将带来真正收益,但也会造成社会错位。随着AI系统日益影响知识获取和信念形成,共同认知基础面临分裂风险。个性化算法加剧信息茧房,民主对话变得困难。我们需要学会在认知群岛化的新地形中智慧生存,建立基于共同责任而非意识形态纯洁性的社区。
杜克大学等机构研究团队通过三种互补方法分析了大语言模型推理过程,发现存在"思维锚点"现象——某些关键句子对整个推理过程具有决定性影响。研究表明,计划生成和错误检查等高层次句子比具体计算步骤更重要,推理模型还进化出专门的注意力机制来跟踪这些关键节点。该发现为AI可解释性和安全性研究提供了新工具和视角。
传统数据中心基础设施虽然对企业至关重要,但也是预算和房地产的重大负担。模块化数据中心正成为强有力的替代方案,解决企业面临的运营、财务和环境复杂性问题。这种模块化方法在印度日益流行,有助于解决环境问题、满足人工智能的电力需求、降低成本并支持新一代分布式应用。相比传统建设需要数年时间,工厂预制的模块化数据中心基础设施可在数周内部署完成。
法国索邦大学团队开发出智能医学文献管理系统Biomed-Enriched,通过AI自动从PubMed数据库中识别和提取高质量临床案例及教育内容。该系统采用两步注释策略,先用大型AI模型评估40万段落质量,再训练小型模型处理全库1.33亿段落。实验显示该方法仅用三分之一训练数据即可达到传统方法效果,为医学AI发展提供了高效可持续的解决方案。