2021-05-15-读书笔记安全抓包分析11-15

读书笔记-11                      如何分析暴力破解数据库密码的行为

1 查到某ip300多会话,会话是小包,并且和数据库的通讯时间短且频率极快,报文长度在8-10字节,而正常数据库通讯规律具有数据包偏大,通讯时间长,通频率慢的特点

抓包发现在尝试sa口令,服务器在回复对方尝试后立即终止会话,说明没有成功。

读书笔记-12                       如何分析端口扫描行为

1 tcp syn扫描  如对方返回syn/ack则表示端口处于监听状态,此时扫描端必须再返回一个RST来关闭此连接,服务器回复RST报文表示该端口没有开放。

2 tcp connect扫描 通过操作系统与目标主机建立连接,而不是直接发生原始数据包。这与浏览器,p2p客户端以及大多数网络应用程序一样,建立连接由高层系统调用,执行这种扫描最大好处是无需root权限,但会在系统日志里留下记录。所以在日志系统里看到同意系统的大量连接尝试,就知道系统被扫描了。

tcp connect()扫描表现为小包多<128字节,在tcp flag统计中tcp同位发送和tcp复位接收较多,同时会有少量同步接受和复位发送包。以连续端口与被扫描ip尝试连接,会话大多数具有相同特征,会话包总计2-6个不等,需查看数据信息确认端口状态。

3 udp扫描 udp扫描通常与icmp结合进行,给目标主机发送没有携带任何数据的udp数据包时,如返回信息为 ICMP端口不可达(类型3,代码3)提示,则表示目标端口是关闭的,但主机是活的。如某服务响应一个upd报文,则表示该端口是开放的。UDP扫描也存在瓶颈,就是速度。很多主机默认限制发送 ICMP端口不可达信息,或限制发包频率,如linux2.4.20内核,就只允许一秒发送一条目标不可达信息,这样扫描65535个端口,需要18小时,所以加速udp扫描方法,通常是并发扫描或先扫描主要端口。 抓包会话总计为1-2个,通常1个表示端口关闭,2个或2个以上表示端口开放。

4 NULL扫描 根据RFC793 主机发送一个没有任何标志位的TCP包,如果目标主机的对应端口是关闭的话,则会返回一个RST数据包,如没有相应则表示端口是开放的。

 NULL扫描可以躲过无状态防火墙和报文过滤路由器,且比SYN扫描要隐秘,但不是所有系统都遵循RFC793,一些系统不管端口是开放还是关闭都相应RST包,如cisco,BSDI等

根据RFC793,类似的扫描还有FIN扫描,FIN+PSH+URG扫描

5 ack扫描 发送一个只设置ack标志位的数据包,目标主机端口无论关闭还是开放都会发送一个RST包,ack扫描不能确定目标主机端口状态,但可确认是否存活,可以发现防火墙规则来确定防火墙状态。

6 窗口扫描 某些系统上,开放端口用正数表示窗口大小,关闭窗口用0表示,窗口扫描就是通过检查返回RST报文窗口字段,来判断端口是否开放。窗口扫描依赖于少数系统实现细节,不支持他的系统通常会返回‘所有端口都关闭’,甚至有的系统会给出相反信息,比如扫描1000个端口开放,3个关闭,那么这3个反而是开放的。

窗口扫描表现为大量小包,大量TCP复位统计,存在大量特征相同的协议统计

7 IP扫描  用来确定目标主机支持的IP协议,如TCP,UDP,ICMP等,他不对任何TCP或UDP端口发送报文,而是对IP协议号发送对应的数据包,报文不含任何数据,甚至不含协议的正确报文头(TCP,UDP,ICMP例外)IP协议扫描需关注‘ICMP协议不可达信息’收到目标主机的任何协议响应,即表示该协议是开放的。

特征为大量特征相同的IP数据包,且不携带任何数据。

8 FIN/ACK扫描  与NULL,FIN扫描原理一样,根据RFC793,无论端口是关闭还是开放,目标主机都会对FIN/ACK探测数据包响应RST报文,但许多基于BSD系统,会丢弃该包。

特征为大量TCP复位接收包,因无法发现FIN/ACK做统计,所以只发现大量TCP复位包。大量同步位和终止位。存在大量特征相同的协议统计,如tcp协议

9 定制扫描  一些用户不会遵循现成的扫描类型和规则,而是指定任意tcp相关标志位,从而避免IDS等的监测

端口扫描的大致特征  1 小包多,大小在64-128字节中间   2 SYN置1,RST置1的数据包比较多  3 大量tcp udp会话具有相同会话特征  4 采用连续端口或固定端口,尝试与目标主机连接   5  诊断提示中出现TCP复位,ICMP端口不可达,甚至端口扫描提示

读书笔记-13                    如何找出虚假源地址的攻击行为

现状       内网或外网用户访问服务器丢包严重,抓包发现重复确认和重传很多

拓扑图           网关(IP129 mac 91)----透明防火墙--- ----(NAT ip 131  mac 02)流控设备---------右连DMZ区(DNS服务器,OA服务器189,服务器地址都为公网地址,不NAT)

                                                                                                                                                -----------下连核心交换机(用户上网会经过流控设备NAT)

问题分析   内网用户上网会nat为外网地址131,服务器上网不会nat。

用户A访问OA发送包路径  A的IP(私有IP)------------流控131-----189

返回包路径            189--------流控131--A的IP

分析发现,内部服务器发送给DMZ同区的流量也发送到网关的mac地址,甚至对不存在的地址段发送的流量也发送到这个mac 与正常分析思路不一样,抓包发现内部服务器访问内部DNS的源来自广域网,经发现存在疑问的ip地址基本都向内部dns发起解析请求,并且都从广域网来。

分析结论  客户网络遇到的问题,是由于遭受虚假源地址攻击导致,大量假冒的地址,对内部dns发起大量请求,如虚假地址189经过网关和防火墙对dns进行访问,dns做出相应,防火墙会在接口列表中记录189是从网关mac地址为91的的接口发过来的,这时用户发往189的包,就被转发到网关,发往广域网石沉大海,当ping包无法到达目的地(返回错误的icmp报文),网关路由更新最新路由信息,则再发往路由器的ping包会重新定义到正确位置,防火墙更新最新端口地址列表,ping成功。

解决策略   在防火墙和网关中间的ips上设置策略,禁止DMZ区ip作为源ip访问dns的流量经过ips,问题解决。

读书笔记-14    IPS发现adobe协议栈漏洞

现象   IPS发现由内到外发起的缓存区溢出攻击,不确定是否为误报,抓包发现有很多TTL值与正常通讯数据包存在差异的RST数据包,说明数据在传输过程中该链接被IPS阻断了,之后客户端又会发起请求,由于该的漏洞是针对应用程序的,对服务器影响不大,为排查内部服务器被恶意控制的可能,来分析被请求的文件是否正常,可以下载该文件并查收病毒。又下载几个上报该问题ip的数据包分析,发现其他ip多是对该网站的爬站行为,为验证ips上报的准确性,我们下载该文件,ip还会报警,因此为误报。可以和ips厂家核实该报警的特征库,进行升级或修改ips策略,阻断改为警告。

读书笔记15  如何分析邮件系统遭受攻击行为

特征  通过抓包的tcp同步包发现,某ip流量几M,但发送包排名高,20000个,会话多,流量小,向邮件服务器发送syn,单又不发送第三个ack,消耗服务器资源,从http看每次访问的url一样,都是登录地址,可以判断在进行密码尝试,建议加强邮件服务器防护,在防火墙做一tcp、会话强制限制,如邮件每次tcp会话空闲时间不超2秒,2秒得不到ack回应就重置会话。

邮件服务器数据量很大,可抓每天9-10点的smtp进行挖掘,可发现某ip会话达几百个,该ip1分钟发送近10封邮件,可能中了僵尸木马。

 

 

上一篇:0.A1-Air302(NB-IOT)-硬件使用说明,下载和运行第一个lua程序(Mini板)


下一篇:序列检测的两种实现方式:状态机与移位寄存器