利用XSCAN工具进行渗透的数据分析解决专项方案.docx

利用X-SCAN 3.3工具进行渗透数据分析 选择工具：X-SCAN 3.3 目标网络：当地局域网 192.168.10.1/24 分析软件：科来网络分析系统 beta版 我们知道假如黑客想入侵一个网络，她需要更多了解一个网络信息，包含网络拓扑结构，哪些主机在运行，有哪些服务在运行，主机运行是什么系统，和该系统主机有没有其它漏洞，和存在部分弱口令等情况等。 只有在充足了解了足够多信息以后，入侵才会变成可能。而黑客入侵之前扫描是一个比较长时间工作，同时现象也是比较显著。我们经过网络分析手段能够很好把握入侵特征。网络扫描工具很多，比较有名如国产冰河和国外X-scan 等软件。 分析过程 本文选择一款比较普遍网络扫描工具X-SCAN 版本为3.3 。我们在扫描网络之前需要对X-SCAN进行设置，具体设置能够从网上搜部分教程。扫描网络为192.168.10.1/24，抓取位置选为本机抓包方法（即在攻击主机上进行抓包）。 抓包从X-Scan 扫描开始，到扫描结束。抓包后数据位10M（中间有些数据有其它通信产生）连续时间大约为10分钟。 首先，10分钟产生10M数据量是不大，这也就是说单个主机扫描其实是不占用很多网络带宽，图： 上图也反应了部分特征，我们看到，抓包网络内数据包长只有111.3Byte，这个平均包长是偏小，而且数据包大小分析发觉<=64字节和65-127字节之间数据占了绝大多少，这就充足说明了网络中有大量小包存在。 我们接下来看下诊疗信息能给我们什么提醒， 图，我们发觉存在大量诊疗事件产生，10M不到数据竟然产生了2W5诊疗条目，而且大多数是传输层诊疗，出现了 TCP端口扫描 等比较危险诊疗信息。我们看到有两项诊疗出现次数较多“TCP连接被拒绝”“TCP反复连接尝试”两个诊疗大约出现了1W1次以上，我们能够将和这两个诊疗相关信息进行提取查看“诊疗发生地址”然后根据“数量”来排名发觉 一个IP 192.168.10.22 这个IP 发生诊疗数据最多。而且诊疗“TCP端口扫描”源IP 就是192.168.10.22 这个IP。 我们定位192.168.10.22这个IP，然后查看TCP会话选项。图： 我们发觉 192.168.10.22这个IP会话数量很多，而且会话是很有特征。我们选择了其中针对192.168.1.10121端口一段会话进行查看，22和101之间会话很多，而且全部是一样特征，建立连接后发送一次密码，被拒绝后再提议另一次会话。此为显著暴力破解FTP密码行为。除了FTP之外还有针对445 和139端口破解，和内网服务检验等。正是这种破解和扫描形成了如此多会话条目。 另外，我们能够从日志选项中查看部分现场，以下是日志截图： 扫描主机 在看到 192.168.10.2 有80端口开放后，提议部分针对HTTP探测，用不一样路径和不一样请求方法，视图取得HTTP部分敏感信息和部分可能存在漏洞。 这种黑客扫描得出结果还是很具体和危险，在不到10分钟之内，就将一个局域网内各主机存活，服务，和漏洞情况进行了了解，而且取得了部分效果。比如此次扫描发觉一台FTP 服务器一个账号 test 密码为123456 情况，这种简单密码和账号最好不要留下，立即清理。 总结 扫描行为，关键有三种，ICMP扫描用来发觉主机存活和拓扑，TCP 用来判定服务和破解，UDP确定部分特定UDP服务。扫描是入侵标志，扫描发觉关键是靠平时抓包分析，和日常维护中进行。最好能够将科来长久布署在网络中，设定一定报警阀值，比如设置TCP SYN 阀值和诊疗事件阀值等，此功效是科来新功效之一，很好用。 扫描防御很简单，能够设置防火墙，对ICMP不进行回应，和严格连接，及会话次数限制等。