正常内网TCP同步包与TCP同步确认包之间的比值应为1:1,当TCP同步包远大于同步确认包时,说明网络可能存在扫描行为。13:32之前,*.77通讯的IP地址只有34个,同步包与同步确认包数量很少,并且基本相等。不存在扫描行为,如上图。
*.77每隔6秒主动发起一次对118.193.228.240的连接,直到13:14:24才连接成功。从数据流的解码中我们可以看到rdpdr,rdpsnd,drdynvc和cliprdr等名字,而这些名字都是FreeRDP库的名字。FreeRDP是一个免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面,如上图。
*.77在这个服务器上下载了DToolsSQL,ntscan, hsan , ssh爆破等各种黑客软件,如上图。
13:32到13:36,IP数猛增到15000+,同步包也开始与同步确认包出现较大差值,扫描开始。
*.77扫描内网地址,每个地址发2个TCP同步包,由于扫描的地址大多数不存在并不能得到回应,所以会造成上文提到的同步包与同步确认包出现较大差值。
当扫描到存在的IP地址时,如下图(以*.71为例):三次握手建立成功后,*.77会直接发RST包断开连接,继续扫描后面的IP地址。但是*.71会被记录下来进行后续攻击。
接着*.77开始扫描*.71的一些常用端口,确定*.71开了哪些端口以便进行后续攻击,发现只有80端口的会话有7个数据包,说明有过回包。
端口扫描结束,*.77会对*.71打开的端口进行漏洞测试,尝试找到漏洞进行入侵。