攻擊分析（第一部分）

唐·帕克

本系列將基於網路漏洞。本文將介紹的是一次真實的攻擊，從偵察到枚舉、網路服務利用，最後以通知利用策略結束。

所有這些步驟都將在資料包層級進行觀察，然後進行詳細解釋。對於系統管理員和網路安全人員來說，能夠觀察和理解資料包層級的攻擊都極為重要。防火牆、入侵偵測系統 (IDS) 和其他安全設備的輸出將始終用於查看實際的網路流量。如果您不了解資料包層級所看到的內容，那麼您擁有的所有網路安全技術都毫無意義。

用來模擬網路攻擊的工具有：

Nmap
艾普艾
TCPDUMP
Metasploit框架
網貓
SolarWinds TFTP 伺服器
TFTP客戶端
FU Rootkit

設定步驟

當今網路上存在大量掃描行為，更不用說蠕蟲和其他形式的惡意軟體（如病毒）的行為。對於受到良好保護的電腦網路來說，它們都只是無害的噪音。我們應該關注的是那些故意針對電腦網路的人。本文假設攻擊者已經攻擊了受害者，並且已經做了事先研究，例如找出受害者的 IP 位址和網路位址。該攻擊者可能還試圖利用與該網路相關的電子郵件地址等資訊。這種資訊非常重要，因為攻擊者在對網路進行掃描、枚舉和欺騙操作後發現了網路但卻無法進入。他收集的電子郵件地址可用於發動用戶端攻擊，即透過電子郵件中的連結嘗試邀請使用者存取惡意網站。後續文章中將介紹這些類型的攻擊。

工作原理

我們應該觀察駭客對受害者網路進行掃描和枚舉時的行為。駭客使用的第一個工具是Nmap。儘管 Nmap 的 IDS 特徵相對較少，但它仍然是一個非常有用且廣泛使用的工具。

攻擊分析（第一部分）

我們可以透過上面小螢幕中駭客使用的語法看到，駭客選擇了 21 和 80 端口，因為他有一些可以透過 Metasploit Framework 使用的漏洞。不僅如此，他還非常了解系統服務和協定。很明顯，他正在使用 SYN 掃描，這是最常用的連接埠掃描類型。這也是因為當監聽連接埠的 TCP 服務收到 SYN 封包時，它會傳回 SYN/ACK（回覆）封包。 SYN/ACK 封包表示服務確實正在監聽並等待連線。然而 UDP 不存在同樣的問題，它依賴 DNS 等服務（DNS 也使用 TCP，但它主要使用 UDP 進行大部分交易）。

下面列出的語法是 Nmap 從其發送的資料包中收集的輸出，但更準確地說，是從它執行的 SYN 掃描所接收的資料包中收集的輸出。我們可以看到，從表面上看，它似乎同時提供 FTP 和 HTTP 服務。我們並不真正關心 MAC 位址，所以我們會忽略它。 Nmap 等工具不易出錯，因此它們通常適合在資料包層級驗證您的資訊以確保準確性。不僅如此，它還允許觀察來自受害網路的返回資料包，以便從那裡收集架構、服務和主機資訊。

尋找資料包

目前有許多程式可以挖掘資料包並找出基本信息，例如作業系統類型、架構資訊（例如 x86 或 SPARC）等等。這還不夠，但當我們學習讓程式為我們完成工作時，這也很重要。考慮到這一點，讓我們來看看 Nmap 資料包追蹤並找出有關受害者網路的一些資訊。

10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23: ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............

上面兩個資料包顯示的是來自 Nmap 的開啟批次。它的作用是向受害網路發送 ICMP 回顯請求。你會看到它並沒有配備在某個連接埠上，因為ICMP並沒有使用端口，而是由TCP/IP協定棧內建的ICMP錯誤訊息產生器來管理。此 ICMP 封包還標示一個唯一編號，在本例中為 38214，以協助 TCP/IP 堆疊檢查回傳流量，並將其與先前發送的 ICMP 封包相關聯。上面的資料包是來自受害網路的回應，以 ICMP 回顯答案的形式。也考慮了字串編號 38214。這樣駭客就知道該 IP 位址後面有一台電腦或一個網路。

這個開放的 ICMP 封包序列就是 Nmap 為其配備 IDS 符號的原因。如果需要，可以在 Nmap 中停用 ICMP 主機發現選項。透過受害網路的 ICMP 回顯回覆封包的結果可以收集到哪些類型的信息？事實上這裡沒有太多資訊可以幫助我們了解網路。不過，在與作業系統相關的領域仍可以採取初步措施。上述包中以粗體突出顯示了填充字段的時間及其旁邊的值。值 128 表示該電腦可能是 Windows 電腦。雖然 ttl 值沒有準確回答與作業系統相關的內容，但它將成為我們考慮的下一個套件的基礎。

結論

在第一部分中，我們研究了使用 Nmap 對兩個特定連接埠的攻擊中的網路掃描。此時，攻擊者肯定知道該 IP 位址上駐留著一台電腦或一個電腦網路。在本系列的第 2 部分中，我們將繼續研究此資料包的跟踪，並找出我們可以收集到的其他資訊。

攻擊分析（第一部分） 分析攻擊（第 2 部分）
分析攻擊（第 3 部分）