要点:
当TCP同步包远大于同步确认包时,说明网络可能存在扫描行为
几分钟内,IP数猛增,同步包也开始与同步确认包出现较大差值–>扫描开始
正常情况:
内网TCP同步包与TCP同步确认包之间的比值应为1:1
知识点:
FreeRDP库:rdpdr、rdpsnd、drdynvc、cliprdr,是免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面
黑客软件名:DToolsSQL、ntscan、hsan、ssh
情况:
内网被控主机扫描内网地址,每个地址发送n个TCP同步包,不存在的地址不回应(验证了同步包与同步确认包出现较大差值);存在的IP地址三次握手会建立成功,内网被控主机发RST包断开连接,一方面记录下来存在的IP地址,另一方面继续扫描
存在的IP地址会被继续扫描端口,确定开了哪些端口用于后续攻击–>对打开的端口进行漏洞测试,尝试找到漏洞进行入侵
结论以及建议:
确定内网被控主机,并且黑客正在以此为跳板尝试向内部入侵
禁止被控主机访问外网不安全IP及端口,并处理内网被控主机