前言:
在做主机资产扫描-识别端口开放情况与服务的时候,一开始很容易遇到的问题就是:识别端口数量过少,
就是有些端口明明开放了,你却识别不出来.
要解决这个问题,可以考虑以下思路:
-
修改
nmap参数,跳过存活主机的发现 -
有可能是发包数过快,网络设备处理不过来,存在丢包的情况
新的问题:
解决完识别端口数量过少的问题后,后来又出现了另一个问题:识别端口数量过多
例子1:
例子2:
图中显示的端口都是开放状态.
refs:DC0531技术沙龙-国内SRC漏洞挖掘经验和技巧分享
原因:
目标主机可能有防护设备如蜜罐等.
什么是蜜罐
通常将**蜜罐(honeypot)**定义为一种安全资源.
它不需要提供实际的应用,蜜罐的存在价值就是诱导和记录攻击行为,从而了解攻击者的入侵方法和手段,并能够延缓其攻击进程
进而根据捕获的攻击行为数据,分析攻击者使用的攻击方法和工具,从而让防御方针对性地增强系统的安全防护能力。
有点草船借箭的意味.
蜜罐的分类
蜜罐的交互程度通常取决于蜜罐对相应服务的模拟程度。
(1)低交互蜜罐该类蜜罐通常只提供少量的交互功能,蜜罐在特定端口监听连接并记录数据包,可以用来实现端口扫描和暴力破解的检测。低交互蜜罐结构简单,易于安装部署,由于模拟程度低功能较少,收集信息有限但风险也较低。
(2)高交互蜜罐高交互蜜罐通常基于真实的应用环境来构建,能提供真实的服务。高交互蜜罐可用来获取大量的信息,能够捕获攻击者多种操作行为,从而具备发现新的攻击方式和漏洞利用方法的能力。由于高交互蜜罐给攻击者提供了一个相对真实的应用环境,因此风险较大,通常会注重数据控制方面的功能。
简单总结:
黑客入侵或做安全检测的时候,往往要先做信息搜集.
第一步便是要看看目标主机开放了什么端口,以及端口上对应的服务.(攻击面 attack face)
而简单的,部署上一个低交互蜜罐,就可以增大攻击者(检测者)的难度.cool~
对检测者的影响:
卡死检测者:
一般检测的时候,我们都会对整个网段进行全端口扫描.
如果这个网段内某一两台主机部署了蜜罐的话,那么这整个检测任务会处于几乎卡死的状态.
所以,一台部署了蜜罐的设备,可能不仅仅是保护自身,对于同网段的机子来说也有一定的益处.
大量脏数据入库:
如果检测的时候,没有恰当的处理,很有可能会造成大量的脏数据入库.
简单的解决方案:
识别端口的开放情况和服务,这两个功能一定要分开.
可见开发时的设计要遵从 高内聚、低耦合原则.
如果识别一个主机开放了过多的端口(如超过100个),那么可以选择
-
跳过这个主机.
-
仅识别top 100
疑问:
某个主机或某个网段内部署了蜜罐,会不会有点 此地无银三百两的意味呢?
或许发现、识别蜜罐的同时,也侧面说明了这个网段内有企业重要的资产?!
refs:
-
DC0531技术沙龙-国内SRC漏洞挖掘经验和技巧分享