浅谈简易端口扫描威胁感知系统的设计与实现

一 前言:

正所谓善守者不知其所攻,善攻者不知其所守。网络攻防本来就是一场看不见硝烟的对抗。

本人设计的这套端口蜜罐检测程序,是在总结了大量的APT攻击方法和思路之后,结合自己分析和思考,针对当前企业面临的大量黑客攻击,而无法得到有效的预警信息,设计了这个简易版本的蜜罐程序。

二 设计方法和思路

下面结合APT攻击的常见流程来分析端口蜜罐程序设计的方法和思路。

上面这张图片只是列出了常见的三种攻击流程,APT攻击的方法和思路还有很多,如2010年的震网病毒, 近两年被发现的往流行的网络管理客户端xshell,putty,secureCRT等植入后门再从中筛选攻击目标 等等。

在上面的三种APT攻击方法中,第一种方法是最普遍,被黑客使用最多的一种。那我们就针对第一种方法设计相关的防御措施。在网络入侵者使用第一种方法实施入侵时,会用nmap等端口扫描工具扫描子域名开放的端口信息。比如常见的21(ftp), 22(ssh),1433(mssql),3306(mysql),3389(rdp) 等端口。在端口扫描之后黑客会用暴力破解工具进行在线破解,破解失败后会检测常见的web漏洞,比如sql注入,xss,文件上传漏洞等等。

既然端口扫描和在线破解会被黑客广泛使用,那我们就可以开放常见的端口让黑客主动发起网络连接。当黑客用端口 扫描工具和暴力破解工具扫描 JIDS监听的端口时,程序会记录黑客 的公网IP地址 ,扫描的日期时间,扫描的次数等信息, 同时当扫描的次数超过指定的次数时,会发出告警邮件。

三 代码实现部分

上面只是整个程序代码中的核心代码部分。说说代码的实现逻辑;当黑客用nmap扫描端口和使用hydra,ncrack 等若口令在线破解工具时,会发起TCP网络连接请求,只要TCP连接发送过来,这边监听的常见端口如21,22,3306 等就会做相应的响应,把黑客的公网IP 地址,扫描的日期时间 记录下来,记录完成之后就会立即断开,并且每个监听的端口放在单独的一个线程中,互不干扰。

程序的特点

1 本程序由JAVA 开发实现,可以跨平台部署,既可以在windows系统部署,也可以在linux系统上面部署。 2 监听的端口可以自定义,比如常见的应用层协议端口21(FTP)22(SSH),80(HTTP),443(HTTPS),1433(MSSQL),3306(MYSQL),1521(ORACLE),5432(PostgreSQL),5901(VNC)等。 3 能同时记录多个IP地址的连接请求,比如有100个不同的IP同时扫描开放的端口,这100个IP都会被记录下来。 4 监听的端口有对应的指纹信息,能欺骗黑客用nmap等端口扫描工具的检测。 5 对每个IP扫描的次数自动统计并排序,自动生成威胁感知列表并发送email告警邮件信息。

欺骗nmap 端口指纹扫描工具的效果图如下:

程序部署环境网络拓扑图

本程序部署在内网的linux 系统中,只能检测到内网的扫描攻击,如果需要检测外网的黑客扫描攻击,需要把监听的端口映射到 有域名的公网 IP。这样既能检测到内网扫描, 同时也能检测到外网的扫描 。

对业务系统的影响

JIDS只是监听网络端口,当黑客扫描时,会记录黑客的IP地址 和扫描的次数, 记录完成之后,网络连接就会自动断开;在部署的系统中并没有部署 安装具体的 应用程序,如M ySql, FTP 服务器,Redis等应用。 综上所述,JIDS可以理解为一套模拟端口蜜罐,对现有业务 系统 无任何影响。

检测结果分析

JIDS的检测输出结果包括日志和邮件告警 两种形式。 下面是JIDS 这个工具运行一段时间后获取的检测结果:

JIDS的日志功能能够 完整记录所有入侵者的IP地址 、日期时间、 扫描的端口,如下图:(日志 是 json格式)

邮件告警通过自动发送告警邮件至相关管理人员,告知入侵者统计信息,如扫描时间、IP地址 、 扫描次数、扫描端口 、IP地址地域信息。 邮件告警样例如下:

总结:

本程序能检测到黑客的端口扫描和若口令破解过程,包括IP地址,日期时间,扫描次数等等,

并能持续运行,直到程序进程结束为止,作为端口扫描威胁感知,这个程序基本上是能胜任的。

但是黑客攻击的方法和思路非常的多,能不能100%的检测到,以及怎样从检测到的结果中筛选出有目的 的APT攻击者,

还是单纯的抓肉鸡者,这是个需要解决的问题。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-08-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

Hacking Team 病毒测试环境分析

0x00 前言 安恒研究团队在Hacking Team泄露的文件中除了发现大量的后门、木马等攻击的源码,还发现了两个用于病毒安全性测试的源代码,分别是test...

40450
来自专栏FreeBuf

没有外部工具,如何快速发现Windows中毒了

从事应急响应工作几年之后,我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不是那么简单的,可我却发现感染几乎存在于所有不复杂的攻...

22550
来自专栏黑白安全

反射的跨站点脚本(XSS)攻击

跨站点脚本攻击(XSS)是一种Web应用程序漏洞,允许攻击者将代码(通常为HTML或JavaScript)注入到外部网站的内容中。当受害者查看网站上的受感染页面...

13420
来自专栏北京马哥教育

jenkins+gitlab构建安卓自动编译环境

因工作关系接触到接触到安卓自动编译环境,网上的资料都推荐了jenkins,因为第一次接触安卓和jenkins,踩了不少的坑,有总结才有进步。 gitlab环境之...

41650
来自专栏FreeBuf

全能无线渗透测试工具,一个LAZY就搞定了

近来一直在研究无线安全方面的东西,特别是在无线渗透测试这块,每次渗透测试时总要来回不停的切换操作和挑选利器,很是麻烦。就想看看是否可以有一款功能全面的集合型工具...

33650
来自专栏玄魂工作室

Hacker基础之工具篇 Automater

用白话来说,就是相当于哈勃那种的东东,你给个网址,它会去这些网站上找这个网址是否是安全的,是否有什么不良历史记录这个意思

14920
来自专栏逢魔安全实验室

渗透基础-SSH后门分析总结

? ? 对于UNIX系统来说,ssh服务端作为最广泛应用的远程管理服务并且有一定对外开放的必然性,必然引起黑客关注,所以ssh类的后门也是uni...

82740
来自专栏数据库

数据库安全如何保障?这五点是关键!

数据泄漏的成本是昂贵的,这之中包含着业务的中断、客户信任的丧失、损失的法律成本、监管罚款和勒索软件攻击。 数据泄漏或导致巨大的影响。最好的防御是好的进攻,所以让...

231100
来自专栏FreeBuf

DarkHydrus使用Phishery在中东地区窃取凭证

在上周,Unit 42发表了一个篇关于介绍一个名为DarkHydrus的新威胁组织的博文,我们观察到该组织的目标是位于中东地区的政府实体。在这篇文章中,我们对通...

6920
来自专栏FreeBuf

运维安全 | 等保视角下的SSH加固之旅

前段时间在搞等保,根据等保的安全要求,需要对公司的服务器进行安全加固,其中就涉及到对SSH Server的加固。正好最近有空,笔者将加固过程的一些经验,总结分享...

34330

扫码关注云+社区

领取腾讯云代金券