入侵检测——nc(扫描篇)

最新推荐文章于 2024-05-24 09:53:07 发布
最新推荐文章于 2024-05-24 09:53:07 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 入侵检测 文章标签: nc snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44288604/article/details/115635584
版权

目录

环境介绍

NAT模式:

  • kali攻击方
  • win7受害者
  • Metasploitable受害者

参数

关于nc端口扫描的进一步了解参见我之前的文章:图文介绍——NC使用笔记

nc只有简单的两种扫描方式,如下:
-z参数就是端口探测,默认使用TCP连接。
nc的端口扫描是从大到小,一旦能建立起三次握手,就发送FIN+ACK断开连接,然后扫描下一个端口。

nc -nvz 192.168.56.104 1-3000	#扫描win7的1-3000端口
nc -nvz 192.168.56.102 1-3000	#扫描meta的1-3000端口

nc -nvzu 192.168.239.132 1-65535	#UDP扫描win7的1-65535端口

数据包

TCP扫描

根据TCP端口扫描,发现:

  1. 类似nmap的SYN扫描
  2. 窗口大小是64240
  3. tcp的option字段是固定的
  4. 数据大小为空
  5. 存在高并发

在这里插入图片描述
得出规则:

alert tcp any any -> any any (msg:"nc TCP端口扫描"; flags:S; window:64240; tcp.option:"|02 04 05 b4 04 02 08 0a 06 60|"; dsize:0; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:5; rev:1;)

特别注意:在这一个数据包的多条对话中,会发现tcp.option是存在部分变化的!
由于tcp.option不是snort可识别的关键字,不做截图

UDP扫描

可以看到:

  1. 数据大小是1个字节
  2. 存在高并发

在这里插入图片描述
补充:受害者回发icmp包,icmp包的意思的端口不可达
在这里插入图片描述
得出规则:

alert udp any any -> any any (msg:"nc UDP端口扫描"; dsize:1; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:6; rev:1;)

在这里插入图片描述

lainwith
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络扫描工具nc&nmap
Linuxer's Blog Data
07-22 6279
一、NC 1、nc安装 # yum install nc 2、nc详解 linux nc命令   功能说明:功能强大的网络工具 语  法:nc [-hlnruz][-g][-G][-i][-o][-p][-s][-v...][-w][主机名称][通信端口...] 参  数:   -g   设置路由器跃程通信网关,最丢哦可设置8个。   -G   设置来源路由指向器,其数
渗透入侵\NC上传利器.zip
07-15
渗透入侵\NC上传利器
探索安全边界:用友NC系列漏洞检测与利用工具
最新发布
gitblog_00049的博客
05-24 422
探索安全边界:用友NC系列漏洞检测与利用工具 项目地址:https://gitcode.com/wgpsec/YongYouNcTool 在这个数字化的时代,信息安全成为了企业和个人不可忽视的重要环节。针对企业级应用的安全检测,YongYouNcTool 是一款专为用友NC系列设计的高效漏洞检测及利用工具,旨在帮助安全研究人员和管理员及时发现并应对潜在的安全风险。 项目介绍 YongYouNcTo...
namp和nc扫描方式
Felix_49的博客
01-21 2386
扫描方式
NC扫描端口输出过滤
weixin_43967893的博客
05-02 335
nc扫描端口,输出过滤
端口扫描 - nc - 全链接扫描
发哥微课堂
11-19 6313
0x00:简介 nc 在众多强大的功能中,也有端口扫描,主要的参数有以下几个: 其中 n 参数作用是跟 ip 地址,不做 dns 域名解析,可以加快速度。v 参数是显示详细信息。z 参数就是扫描模式,默认就是 tcp 全链接扫描。w 参数是设置超时时间。nc 使用全链接方式扫描端口命令格式如下:nc -nvz 1.1.1.1 1-100。 0x01:nc 全链接扫描端口 首先执行其命令...
NC&NCC移动审批产品手册
05-29
NC&NCC移动审批产品手册,移动审批系统旨在解决企业在使用 NC/NCC 系统中业务单据通过移动端进行审批的痛点。通过上线移动审批,助力企业高效协同、便捷办公。
nc扫描器及其使用说明
08-25
nc扫描器和使用说明。经典啊。。值得收藏
linux中的nc端口监测工具
12-21
tar -zxvf ncat.tar.gz cd ncat rpm -ivh *.rpm ncat -4 -l -p 8080
用友NC5.7总账篇
09-06
用友NC5.7总账篇 用友NC5.7总账篇是UFIDA NC5X总账系统的核心组件,提供了完整的会计系统解决方案。该系统不仅可以完成会计科目维护、会计凭证管理、常用账簿查询等日常基本财务核算工作,还提供了一些特殊功能,...
nc命令之快速扫描端口--linux命令普及
weixin_44214830的博客
12-04 1411
今天在做时钟同步调测时,发现本机不能同步到server端的时间。 重启chronyd服务没有用。那我试一试ping 服务器,试了一下是可以ping通的,但是为什么时间同步不上呢? 测试一下端口是否可达呢? 这就用到了nc命令(nc是netcat的简写) nc -z -u -w 5 10.205.30.61 323 (chrony使用的是udp) -z:表示zero,表示扫描时不发送任何数据 -u:指定nc使用UDP协议,默认为TCP -w:超时秒数,后面跟数字 正常情况下:...
不需要任何工具,dos命令扫描一个网段的全部端口
03-23
在win2000下开一个dos窗口,然后执行 for /l %a in (1,1,254) do start /min /low telnet 192.168.0.%a 3389 这样192.168.0.x这个段的所有开放3389端口得主机都会暴露 这条命令执行后 会在任务栏开254个小窗口 然后telnet链接失败的窗口会在大约5秒后自动退出 剩下的窗口就是相对应开放端口的主机了 看一下小窗口的标题可以得知主机的ip地址 如果你觉得机器性能很好的话 可以把/low参数去了
TCP、UDP端口及ICMP网络扫描工具
09-13
基于vc6.0开发网络扫描工具,利用select+connect进行TCP端口扫描,利用ICMP端口不可达报文进行UDP端口扫描,可以完成对TCP、UDP端口的探测,ICMP你懂的。利用GetBestRoute和GetIpAddrTable来判定使用本地接口IP,不修改IP头,摆脱windows操作系统对rawsocket的限制。自定义ping函数实现以上功能,你可以在代码中包含此.h和.cpp文件,直接调用此函数。
系统命令主机发现&NC端口扫描
qq_38675102的博客
12-31 613
自学笔记
Netcat瑞士军刀的简单使用
谢公子的博客
11-15 2873
目录 Netcat 常用参数: 常见的用法: 端口扫描: 聊天 文件传输 反弹shell 蜜罐 Netcat Netcat常称为 nc,拥有“瑞士军刀”的美誉。nc 小巧强悍,可以读写TCP或UDP网络连接,它被设计成一个可靠的后端工具,能被其它的程序或脚本直接驱动。同时,它又是一个功能丰富的网络调试和开发工具,因为它可以建立你可能用到的几乎任何类型的连接,以及一些非常有意思...
三个入侵的必备小工具-lcx.exe、nc.exe、sc.exe
dibodang1423的博客
05-31 197
lcx.exe的使用方法以前抓肉鸡都是通过1433弱口令,然后..但是发现很多服务器开了1433,3389,但是终端是连不上的,因为服务器本身是在内网,只对外开放了1433端口,幸好有lcx.exe这个东西,用sqltools.exe传倒服务器上...lcx.exe是个端口转发工具,相当于把肉鸡A上的3389端口转发到B机上,当然这个B机必须有外网IP.这样链接B...
【流量分析】
mmdlm的博客
03-23 852
DHCP 是一个应用层协议,主要任务就是向客户端分配IP地址,负责让设备能够自动获取IP地址(以及其他重要的网络资源,比如DNS服务器和路由网关的地址)。首先客户端发送一个FIN数据包(seq初始化序列码,假设为u),服务器接收到数据包后返回一个ACK数据包(此时seq码重新设定为v,ACK确认序列码设置为u+1)和FIN/ACK数据包(seq码设定为w,ACK确认序列码设置为u+1),客户端接收到数据包后返回一个ACK数据包(seq码设定为u+1,ACK码设定为w+1)但在现实中,连接经常会突然断掉。
2022-12-25 TCP/IP 协议栈_6
老林的博客
12-29 949
TCP 协议是 TCP/IP 协议栈的核心协议, 为了一个可靠的字节流连接, TCP 要进行三次握手四次挥手的动作, 为何会有这种动作, 这种动作为何能保证连接的可靠, TCP协议在这之中究竟做了什么, 想要了解细节的有网络编程需求的学习者, 可以看看本文, 了解一下TCP协议的信息封装结构, 如何连接, 如何断开, 如何保证信息的正确, 如何保证网络情况不良的情况, 以及应对各种复杂场景的对策.
图文介绍——NC使用笔记
LainWith的博客
01-20 7405
NC 简介 Netcat 简称为nc,中文名网猫,被誉为网络工具中的瑞士军刀。具备以下功能: 侦听模式/传输模式 telnet/获取 banner信息(当作telent工具使用,甚至更好用) 传输文本信息(可以作为聊天工具) 传输文件/目录 加密传输文件 远程控制/木马(一般来说,不会被查杀) 加密所有流量 流媒体服务器 远程克隆硬盘(一般用作电子取证) nc 有很多变种。不同的变种,会在原有 nc 的基础上增加一些新功能。比较流行的变种之一是OpenBSD 社区的变种(也叫“OpenBSD netc
Pro软件中的NC组件加工编程设计。实用.pdf
02-12
通过Pro/NC模块,用户可基于Pro/MOLDESIGN和Pro/CASTING模块的设计内容,生成数控加工程序并进行动态仿真模拟,以便于检测和优化设计方案。本设计涵盖了平面加工、体积加工、轮廓加工和挖槽加工等多个步骤,包括建立...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值