淺談簡易埠掃描威脅感知系統的設計與實現

新聞 08-18

*本文原創作者：陸仁甲，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

一

前言

：

正所謂善守者不知其所攻，善攻者不知其所守。網路攻防本來就是一場看不見硝煙的對抗。

本人設計的這套埠蜜罐檢測程序，是在總結了大量的APT攻擊方法和思路之後，結合自己分析和思考，針對當前企業面臨的大量黑客攻擊，而無法得到有效的預警信息，設計了這個簡易版本的蜜罐程序。

二

設計方法和思路

下面結合APT攻擊的常見流程來分析埠蜜罐程序設計的方法和思路。

上面這張圖片只是列出了常見的三種攻擊流程，APT攻擊的方法和思路還有很多,如2010年的震網病毒, 近兩年被發現的往流行的網路管理客戶端xshell,putty,secureCRT等植入後門再從中篩選攻擊目標等等。

在上面的三種APT攻擊方法中，第一種方法是最普遍，被黑客使用最多的一種。那我們就針對第一種方法設計相關的防禦措施。在網路入侵者使用第一種方法實施入侵時，會用nmap等埠掃描工具掃描子域名開放的埠信息。比如常見的21(ftp), 22(ssh),1433(mssql),3306(mysql),3389(rdp) 等埠。在埠掃描之後黑客會用暴力破解工具進行在線破解,破解失敗後會檢測常見的web漏洞，比如sql注入,xss,文件上傳漏洞等等。

既然埠掃描和在線破解會被黑客廣泛使用，那我們就可以開放常見的埠讓黑客主動發起網路連接。

當

黑客用

埠

掃描工具和暴力破解工具

掃描

JIDS

監聽

的埠時，程序會記錄黑客

的

公網IP

地址

，掃描的日期時間，掃描的次數等信息

，

同時

當掃描

的次數超過指定的次數時，會發出告警郵件。

三

代碼實現部分

上面只是整個程序代碼中的核心代碼部分。說說代碼的實現邏輯；當黑客用nmap掃描埠和使用hydra,ncrack 等若口令在線破解工具時，會發起TCP網路連接請求，只要TCP連接發送過來，這邊監聽的常見埠如21,22,3306 等就會做相應的響應，把黑客的

公網IP

地址

，掃描的日期時間

記錄下來

,記錄完成之後就會立即斷開,並且每個監聽的埠放在單獨的一個線程中，互不干擾。

四

程序的特點

1 本程序由JAVA 開發實現，可以跨平台部署，既可以在windows系統部署，也可以在linux系統上面部署。

2 監聽的埠可以自定義，比如常見的應用層協議埠21(FTP)22(SSH),80(HTTP),443(HTTPS),1433(MSSQL),3306(MYSQL),1521(ORACLE),5432(PostgreSQL),5901(VNC)等。

3 能同時記錄多個IP地址的連接請求，比如有100個不同的IP同時掃描開放的埠，這100個IP都會被記錄下來。

4 監聽的埠有對應的指紋信息，能欺騙黑客用nmap等埠掃描工具的檢測。

5 對每個IP掃描的次數自動統計並排序，自動生成威脅感知列表並發送email告警郵件信息。

欺騙nmap 埠指紋掃描工具的效果圖如下：

五

程序部署環境網路拓撲圖

本程序部署在內網的linux 系統中

，只能檢測到內網的掃描攻擊，如果需要檢測外網的黑客掃描

攻擊

，需要把監聽的埠映射到

有

域名的公網

IP。

這樣既能檢測到內網掃描

，

同時也能

檢測

到外網的掃描

。

六

對業務系統的影響

JIDS

只是

監聽網路埠，當黑客掃描時，會記錄黑客的

IP地址

和掃描的次數，

記錄

完成之後，網路連接就會自動斷開；

在

部署的系統中並沒有部署

安裝

具體的

應用

程序，如

，

FTP

伺服器

，

edis等應用

。

綜上所述，

JIDS可以理解為一套模擬埠蜜罐，

對

現有

業務

系統

無

任何影響。

七

檢測結果分析

JIDS的

檢測輸出

結果

包括日誌和郵件告警

兩種形式

。

下面

是

JIDS

這個

工具運行一段時間後獲取的檢測結果：

JIDS的

日誌功能

能

夠

完整記錄所有入侵者的

IP地址

、

日期時間

、

掃描的埠

，如下圖

：

(日誌

是

json格式)

郵件告警通過自動發送告警郵件至相關管理人員，告知

入侵者

統計信息，如掃描時間、

IP地址

、

掃描

次數

、

掃描埠

、

IP地址地域信息

。

郵件告警樣例如下：

總結：

本程序能檢測到黑客的埠掃描和若口令破解過程,包括IP地址，日期時間，掃描次數等等，

並能持續運行,直到程序進程結束為止,作為埠掃描威脅感知，這個程序基本上是能勝任的。

但是黑客攻擊的方法和思路非常的多，能不能100%的檢測到，以及怎樣從檢測到的結果中篩選出有目的的APT攻擊者，

還是單純的抓肉雞者，這是個需要解決的問題。

*本文原創作者：陸仁甲，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章:

※挖洞經驗 | 價值1萬美金的谷歌內部主機信息泄露漏洞
※马斯克的人工智能才会让人类毁灭？那AI还是安全行业的未来吗？
※PhEmail：基於Python的開源網路釣魚測試工具
※揭秘比木馬挖礦還要「暴利」的網路偷竊行為

TAG:FreeBuf |

您可能感興趣

※中興力維董事長徐明：打通系統孤島，橫向融合實現智能感知
※知識管理系統認知
※樂談觀賞魚之魚缸系統容易出現的問題
※Log結構文件系統的設計與實現
※漫談文件系統
※分散式文件系統設計與實現
※虛擬現實VR的的智能展示系統
※設計系統簡介
※視覺檢測背光源強度評估方式——機器視覺是實現人工智慧的重要方式，光源是機器視覺系統實現的基礎
※健身基礎知識——了解生理支持系統
※由淺及深的仙侶系統現實愛情完美還原體驗
※戒色，我們是認真的！談一談如何系統戒色！
※細菌通過神經系統阻止免疫系統攻擊從而使它而引起廣泛的致命感染
※你知道美感系統和風格定位的關注嗎？
※通知：關於日語聽說訓練小程序系統升級的通知及問題解決指導
※德展糾偏系統簡介
※文化表述的意義與解釋系統的轉換——梁漱溟對東方失語的認識
※聯想再次聲明：網傳反對國產操作系統不真實，真相是這樣的！
※一文讀懂皮膚電活動測量系統的設計、開發與評估
※說說「聯想反對預裝國產操作系統」這件事