科来：利用黑客工具进行渗透的数据分析

选用工具：X-SCAN 3.3

目标网络：本地局域网 192.168.10.1/24

分析软件：科来网络分析系统2010 beta版

众所周知，如果黑客想入侵一个网络，他需要更多的了解一个网络的信息，包括网络拓扑结构，有哪些主机在运行，有哪些服务在运行，主机运行的是什么系统，以及该系统主机有没有其他漏洞，是否存在一些弱口令等情况等。只有在充分了解足够多的信息之后，入侵才会变成可能。而黑客入侵之前的扫描是一个比较长时间的工作，同时现象也是比较明显的。我们通过网络分析手段可以很好的把握入侵特征。网络扫描工具很多，比较有名的如国产的冰河和国外的X-scan 等软件。

案例分析

本文选用的一款比较普遍的网络扫描工具X-SCAN 版本为3.3 。我们在扫描网络之前需要对X-SCAN进行设置，具体设置可以从网上搜一些教程。扫描网络为192.168.10.1/24，抓取位置选为本机抓包方式（即在攻击主机上进行抓包）。

抓包从X-Scan 扫描开始，到扫描结束。抓包后的数据位10M（中间有些数据有其他通信产生）持续时间大概为10分钟。首先，10分钟产生10M的数据量是不大的，这也就是说单个主机的扫描其实是不占用很多网络带宽的，如下图：

上图也反映了一些特征，我们看到，抓包网络内的数据包长只有111.3Byte，这个平均包长是偏小的，而且数据包大小分析发现<=64字节和65-127字节之间的数据占了绝大多少，这就充分说明了网络中有大量的小包存在。

接下来，我们看下科来网络分析系统的诊断信息能给我们什么提示。我们发现大量的诊断事件产生，10M不到的数据竟然产生了2W5的诊断条目，而且大多数是传输层的诊断，出现了 TCP端口扫描等比较危险的诊断信息。我们看到有两项的诊断出现次数较多“TCP连接被拒绝”“TCP重复的连接尝试”两个诊断大概出现了1W1次以上，我们可以将与这两个诊断相关的信息进行提取查看“诊断发生的地址”然后按照“数量”来排名发现一个IP  192.168.10.22 这个IP 发生的诊断数据最多，且诊断“TCP端口扫描”的源IP 就是192.168.10.22 这个IP。

我们定位192.168.10.22这个IP，然后查看TCP会话选项。如下图：

发现192.168.10.22这个IP的会话数量很多，而且会话是很有特征的。我们选取了其中针对192.168.1.101的21端口的一段会话进行查看，192.168.10.22与192.168.10.101之间的会话很多，而且都是一样的特征，建立连接后发送一次密码，被拒绝后再发起另一次会话。此为明显的暴力破解FTP密码行为。除了FTP之外还有针对445 和139端口的破解，以及内网服务的检查等。正是这种破解和扫描形成了如此多的会话条目。

此外，我们可以通过HTTP请求日志查看一些情况。扫描主机在看到 192.168.10.2 有80端口开放后，发起了一些针对HTTP的探测，用不同的路径和不同的请求方法，试图取得HTTP的一些敏感信息和一些可能存在的漏洞。

这种黑客扫描得出的结果是很详细和危险的，在不到10分钟之内，就将一个局域网内的各主机的存活、服务和漏洞情况进行了了解，并且取得了一些成果。例如：本次扫描发现一台FTP 服务器的一个账号 test 密码为123456 的情况（建议这种简单的密码和账号最好不要留下，应及时的清理）。

案例总结

扫描行为，主要有三种：ICMP扫描用来发现主机存活和拓扑，TCP 用来判断服务和破解，UDP确定一些特定的UDP服务。扫描是入侵的标志，扫描的发现主要是靠平时抓包分析，和日常的维护中进行。最好能够将科来长期部署在网络中，设定一定的报警阀值，例如设置TCP SYN 的阀值和诊断事件的阀值等，很好用。

扫描的防御很简单，可以设置防火墙，对ICMP不进行回应，和严格连接，及会话次数限制等。