# 网络扫描与恶意代码流量分析

现实世界中，很多数据包分析都是为了解决安全问题。

当安全专家分析可疑入侵的网络流量，或法务取证人员调查恶意软件在主机上的感染程度时，都会用到数据包分析方法。

## 网络扫描类流量分析

攻击者采取的第一步行动，通常是深入研究目标信息系统（如网站...），在获得相关IP地址后，将通过扫描来探查相关主机的信息。

网络扫描的目标有以下几点：

- 发现主机
- 发现网络拓扑
- 探测网络安全配置
- 发现开放端口
- 发现网络服务
- 探测主机OS
- 探测漏洞

### SYN扫描流量分析

TCP SYN 扫描是一种最为常见的扫描类型。

扫描原理是向目标主机的某个端口发送TCP连接请求（TCP SYN)，根据TCP三次握手机制：

- 若对方主机端口是开放的，则会对连接请求进行响应（TCP SYN ACK)。

- 若对方主机端口是关闭的，则不会有任何响应。

- 若中间存在包过滤网关（防火墙），则可能不会有任何响应。

#### 本节实验操作

- 打开样本文件synscan.pcap，这个文件是用扫描工具NMAP进行syn扫描的例子。
- 使用“统计”-“对话”窗口以及“流量图”窗口，确定此样本记录的扫描范围，回答以下问题：
  + 扫描发起端的IP地址？
  + 扫描目标的IP地址？
  + 扫描端口类型是TCP or UDP ? 端口地址范围从(   )到(   )，共(   )个端口。
 
- 设置并应用显示过滤器为“tcp.port == 53”,根据过滤结果回答问题
  + 过滤结果包含几个数据包？
  + 第1个数据包是从(   )发给(   )的，这个数据包的目的是(   ).
  + 第2个数据包是从(   )发给(   )的，这个数据包的目的是(   ).
  + 第3-5个数据包是从(   )发给(   )的，这些数据包的目的是(   ).
  
- 使用“统计”-“对话”窗口，检查哪些端口是开放的？
  + 方法是对“TCP端口”页中的“数据包数目”列进行降序排列显示，查看所有“数据包数目”大于2的会话。
  
- 使用“统计”-“对话”窗口，检查哪些端口是确定关闭的？
  + 方法是对“TCP端口”页中的“数据包数目”列进行降序排列显示，查看所有“数据包数目”等于2的会话。
  
- 使用“统计”-“对话”窗口，检查哪些端口是不确定关闭的？
  + 方法是对“TCP端口”页中的“数据包数目”列进行降序排列显示，查看所有“数据包数目”等于1的会话。

### 操作系统指纹扫描数据分析

网络攻击过程中，如果能够了解目标主机的操作系统信息，将有利于攻击的顺利进行。

操作系统指纹，指的是通过网络扫描获得的有关操作系统的特征信息。

不同的操作系统，在实现TCP/IP协议的时候，使用了不同的方式，虽然都参照RFC文件的规定，但细节却各不相同，这些不同体现在数据包层面，这些细节也就是我们所讲的OS指纹。

获取操作系统指纹的方法有两种：

- 被动获取，即通过监听目标主机发出的数据包来判定该主机所用的OS

- 主动获取，即通过向目标主机发送探测数据包，根据对方响应判定其所用的OS

#### 本节实验操作

- 打开样本文件passiveosfingerprinting.pcap，完成下列表格：

|协议头部|域|数据包1对应值|数据包2对应值|
|-|-|-|-|
|IP|初始TTL|
|IP|不分片标志|
|TCP|最长段大小|
|TCP|窗口大小|
|TCP|SackOK|

- 根据上表数据，结合教材中的“表10-1常见的被动式指纹”判定172.16.16.134的操作系统应为？




## 漏洞扫描类流量分析

网络扫描的目标是获知：

- 有哪些活跃主机？
- 有哪些开放端口？
- 有哪些网络服务？
- 服务程序版本信息是什么？
- 目标主机的操作系统是什么？

漏洞扫描是在网络扫描的基础上，根据服务程序版本信息、操作系统版本信息，进行漏洞探测。

漏洞探测是与网络应用软件的实现细节相关的，所以扫描方法多种多样，有一种较为常见的思路是：

- 扫描网络应用程序的常用端口；
- 获取服务程序版本指纹信息；
- 查找公开漏洞库CVE、CNNVD的有无该程序的漏洞信息；
- 查找该应用该版本号的产品有无公开漏洞；
- 若有，则判定该程序存在漏洞。

## 恶意代码流量样本分析（极光行动）

2010年1月，极光行动这个病毒利用了IE浏览器漏洞，获得了Google及其他公司主机的root级别的远程控制权。

攻击者使用网络钓鱼方式，向众多互联网用户发送电子邮件，吸引用户点击其中的链接。一旦用户点击该链接，并使用IE浏览器访问特定站点，就会感染恶意代码。之后，攻击者就能够立刻获得用户机器的管理员权限。


**基本过程**

1. 受害者收到一份钓鱼攻击者的邮件，其中有一个链接，诱惑用户去点击；
2. 攻击者的web服务器收到受害者发出的Get请求，然后响应302重定向信息，要求浏览器访问另一个页面；
3. 受害者浏览器自动访问新页面，攻击者服务器则向受害者发送shellcode、恶意gif图像；
4. 受害者浏览器执行gif的同时，执行shellcode，利用IE漏洞打开4321端口与钓鱼攻击者进行连接；
5. 受害者系统会为攻击者提供命令行，以便攻击者执行命令。

#### 本节实验操作

- 打开样本文件aurora.pcap,回答以下问题：
- 数据包1-3，192.168.100.206与192.168.100.202 在进行什么网络活动？
- 数据包4，谁向谁发出Get请求，希望访问何种资源？
- 数据包6，谁提出302 Moved，并给出何种Location？
- 数据包7，谁在收到302数据包后，发出对/info?rFfWELUjLJHpP的Get请求？
- 数据包8-17，谁向谁发送数据包，能否使用TCP 流跟踪获得具体信息？
- 数据包18，发送的数据包含哪些信息？有无可读部分，有无异常，其中的iframe标签可能完成什么功能？
- 数据包25，有无可读信息？具体是什么？这种情况常见么？
- 请问谁是受害者？谁是钓鱼攻击者？

## 远程访问特洛伊木马

通常，网络安全人员会使用IDS设备或软件来监控异常入侵行为。

本节，我们将尝试分析一个木马病毒发作的实例。

在这个案例中，IDS软件SNORT发出了一些警报，其特征为十六进制字串：“414E4142494C47497C”

### 本节实验操作

- 打开ratinfected.pcap文件，其中包含了IDS的警报相关流量，完成下列操作或问题。
- 查找十六进制字串：“414E4142494C47497C”，若有多个，请记录其数据分组序号。
- 含上述字串的分组，涉及的IP地址有哪些？端口有哪些？
- 以“tcp.flags.syn == 1 && tcp.flags.ack == 0”为过滤器，查看过滤结果，这些结果反映了什么网络活动？
- 对上一步过滤结果中的每一个分组进行“会话着色”，右键点击每个分组，选择tcp，然后选择不同的色彩分配给每个分组；
- 清除过滤器，查看原样本文件，此时每个tcp流会以不同色彩显示；
- 观察第一个会话（ports6641/4433），跟踪TCP 流，会发现：
  + 172.16.0.111:4433向172.16.0.114:6641 发送了什么样的文本字符串信息？
  + 之后，172.16.0.114:6641向172.16.0.111:4433 反馈了什么样的可读信息？
  + 之后，172.16.0.111:4433向172.16.0.114:6641 又发送了何种信息？
- 能否通过追踪TCP流，找到包含CAPSCREEN的内容，对于含有"JFIF"的部分，查百度尝试理解“JFIF”可能是何种类型数据？
- 能够将JFIF所代表的对象提取出来？具体方法步骤如何？

