读书笔记-11                      如何分析暴力破解数据库密码的行为

1 查到某ip300多会话，会话是小包，并且和数据库的通讯时间短且频率极快，报文长度在8-10字节，而正常数据库通讯规律具有数据包偏大，通讯时间长，通频率慢的特点

抓包发现在尝试sa口令，服务器在回复对方尝试后立即终止会话，说明没有成功。

读书笔记-12                       如何分析端口扫描行为

1 tcp syn扫描  如对方返回syn/ack则表示端口处于监听状态，此时扫描端必须再返回一个RST来关闭此连接，服务器回复RST报文表示该端口没有开放。

2 tcp connect扫描 通过操作系统与目标主机建立连接，而不是直接发生原始数据包。这与浏览器，p2p客户端以及大多数网络应用程序一样，建立连接由高层系统调用，执行这种扫描最大好处是无需root权限，但会在系统日志里留下记录。所以在日志系统里看到同意系统的大量连接尝试，就知道系统被扫描了。

tcp connect（）扫描表现为小包多<128字节，在tcp flag统计中tcp同位发送和tcp复位接收较多，同时会有少量同步接受和复位发送包。以连续端口与被扫描ip尝试连接，会话大多数具有相同特征，会话包总计2-6个不等，需查看数据信息确认端口状态。

3 udp扫描 udp扫描通常与icmp结合进行，给目标主机发送没有携带任何数据的udp数据包时，如返回信息为 ICMP端口不可达（类型3，代码3）提示，则表示目标端口是关闭的，但主机是活的。如某服务响应一个upd报文，则表示该端口是开放的。UDP扫描也存在瓶颈，就是速度。很多主机默认限制发送 ICMP端口不可达信息，或限制发包频率，如linux2.4.20内核，就只允许一秒发送一条目标不可达信息，这样扫描65535个端口，需要18小时，所以加速udp扫描方法，通常是并发扫描或先扫描主要端口。 抓包会话总计为1-2个，通常1个表示端口关闭，2个或2个以上表示端口开放。

4 NULL扫描 根据RFC793 主机发送一个没有任何标志位的TCP包，如果目标主机的对应端口是关闭的话，则会返回一个RST数据包，如没有相应则表示端口是开放的。

 NULL扫描可以躲过无状态防火墙和报文过滤路由器，且比SYN扫描要隐秘，但不是所有系统都遵循RFC793，一些系统不管端口是开放还是关闭都相应RST包，如cisco，BSDI等

根据RFC793,类似的扫描还有FIN扫描，FIN+PSH+URG扫描

5 ack扫描 发送一个只设置ack标志位的数据包，目标主机端口无论关闭还是开放都会发送一个RST包，ack扫描不能确定目标主机端口状态，但可确认是否存活，可以发现防火墙规则来确定防火墙状态。

6 窗口扫描 某些系统上，开放端口用正数表示窗口大小，关闭窗口用0表示，窗口扫描就是通过检查返回RST报文窗口字段，来判断端口是否开放。窗口扫描依赖于少数系统实现细节，不支持他的系统通常会返回‘所有端口都关闭’，甚至有的系统会给出相反信息，比如扫描1000个端口开放，3个关闭，那么这3个反而是开放的。

窗口扫描表现为大量小包，大量TCP复位统计，存在大量特征相同的协议统计

7 IP扫描  用来确定目标主机支持的IP协议，如TCP，UDP,ICMP等，他不对任何TCP或UDP端口发送报文，而是对IP协议号发送对应的数据包，报文不含任何数据，甚至不含协议的正确报文头（TCP,UDP,ICMP例外）IP协议扫描需关注‘ICMP协议不可达信息’收到目标主机的任何协议响应，即表示该协议是开放的。

特征为大量特征相同的IP数据包，且不携带任何数据。

8 FIN/ACK扫描  与NULL,FIN扫描原理一样，根据RFC793，无论端口是关闭还是开放，目标主机都会对FIN/ACK探测数据包响应RST报文，但许多基于BSD系统，会丢弃该包。

特征为大量TCP复位接收包，因无法发现FIN/ACK做统计，所以只发现大量TCP复位包。大量同步位和终止位。存在大量特征相同的协议统计，如tcp协议

9 定制扫描  一些用户不会遵循现成的扫描类型和规则，而是指定任意tcp相关标志位，从而避免IDS等的监测

端口扫描的大致特征  1 小包多，大小在64-128字节中间   2 SYN置1，RST置1的数据包比较多  3 大量tcp udp会话具有相同会话特征  4 采用连续端口或固定端口，尝试与目标主机连接   5  诊断提示中出现TCP复位，ICMP端口不可达，甚至端口扫描提示

读书笔记-13                    如何找出虚假源地址的攻击行为

现状       内网或外网用户访问服务器丢包严重，抓包发现重复确认和重传很多

拓扑图           网关（IP129 mac 91）----透明防火墙--- ----（NAT ip 131  mac 02）流控设备---------右连DMZ区（DNS服务器，OA服务器189，服务器地址都为公网地址，不NAT）

                                                                                                                                                -----------下连核心交换机（用户上网会经过流控设备NAT）

问题分析   内网用户上网会nat为外网地址131，服务器上网不会nat。

用户A访问OA发送包路径  A的IP(私有IP)------------流控131-----189

返回包路径            189--------流控131--A的IP

分析发现，内部服务器发送给DMZ同区的流量也发送到网关的mac地址，甚至对不存在的地址段发送的流量也发送到这个mac 与正常分析思路不一样，抓包发现内部服务器访问内部DNS的源来自广域网，经发现存在疑问的ip地址基本都向内部dns发起解析请求，并且都从广域网来。

分析结论  客户网络遇到的问题，是由于遭受虚假源地址攻击导致，大量假冒的地址，对内部dns发起大量请求，如虚假地址189经过网关和防火墙对dns进行访问，dns做出相应，防火墙会在接口列表中记录189是从网关mac地址为91的的接口发过来的，这时用户发往189的包，就被转发到网关，发往广域网石沉大海，当ping包无法到达目的地（返回错误的icmp报文），网关路由更新最新路由信息，则再发往路由器的ping包会重新定义到正确位置，防火墙更新最新端口地址列表，ping成功。

解决策略   在防火墙和网关中间的ips上设置策略，禁止DMZ区ip作为源ip访问dns的流量经过ips，问题解决。

读书笔记-14    IPS发现adobe协议栈漏洞

现象   IPS发现由内到外发起的缓存区溢出攻击，不确定是否为误报，抓包发现有很多TTL值与正常通讯数据包存在差异的RST数据包，说明数据在传输过程中该链接被IPS阻断了，之后客户端又会发起请求，由于该的漏洞是针对应用程序的，对服务器影响不大，为排查内部服务器被恶意控制的可能，来分析被请求的文件是否正常，可以下载该文件并查收病毒。又下载几个上报该问题ip的数据包分析，发现其他ip多是对该网站的爬站行为，为验证ips上报的准确性，我们下载该文件，ip还会报警，因此为误报。可以和ips厂家核实该报警的特征库，进行升级或修改ips策略，阻断改为警告。

读书笔记15  如何分析邮件系统遭受攻击行为

特征  通过抓包的tcp同步包发现，某ip流量几M，但发送包排名高，20000个，会话多，流量小，向邮件服务器发送syn，单又不发送第三个ack，消耗服务器资源，从http看每次访问的url一样，都是登录地址，可以判断在进行密码尝试，建议加强邮件服务器防护，在防火墙做一tcp、会话强制限制，如邮件每次tcp会话空闲时间不超2秒，2秒得不到ack回应就重置会话。

邮件服务器数据量很大，可抓每天9-10点的smtp进行挖掘，可发现某ip会话达几百个，该ip1分钟发送近10封邮件，可能中了僵尸木马。