#原创分享#数据包分析入门（3）---常见的恶意扫描行为分析

    提起恶意扫描，第一反应是外网IP对内网的IP进行扫描，在防火墙上的扫描防护策略，也是基于从外网到内网的扫描行为进行防护，当内网的机器被僵尸木马控制，成为跳板对外网发起扫描，这种从内对外进行扫描的情况，可能因为防火墙上没有对应的防护策略，又或者是防护策略做得不够完善，导致这种扫描行为没有对应的日志，而被忽略。而这时候就可以通过数据包分析，检测内网是否存在对外的恶意扫描行为。本文以下图的恶意扫描通信为例，进行讲解：

异常判断依据1：是否存在大量的TCP半连接通信？

    图中每个TCP会话的总数据包数量都少于3个，TCP会话建立至少需要3个数据包（3次握手），TCP SYN扫描通常又叫“半开放”扫描，因为它不必打开一个完整的TCP连接，它发送一个SYN包，就像真的要打开一个连接一样，然后等待对端的反应。如果对端返回SYN/ACK报文则表示该端口处于监听状态，此时，扫描端则必须再返回一个RST报文来关闭此连接；如果对端返回RST报文，或者不返回任何数据则表示该端口没有开放。

异常判断依据2：客户端是否在同一时间访问大量分散的外网IP

    图中10.41.10.219这个客户端，在同一时间访问大量分散的外网IP，如果10.41.10.219不是一个开了NAT代理上网的网关设备，正常情况下，通过人工手段，无法在同一时间内输入大量的外网分散IP进行访问。

异常判断依据3：是否存在高危端口的TCP协议通信

    图中10.41.10.219这个客户端，在不断与公网IP进行TCP的445端口协议通信，TCP的445端口一般用于内网通信，是windows 共享文件夹或打印机的常用端口，实际应用中，基本上不存在访问公网共享文件夹或者共享打印机的情况

对恶意扫描行为进行分析有哪些用途？

1.快速定位哪些终端中了蠕虫病毒。从图中看10.41.10.219这个终端很大机会感染了恶意程序；

2.快速确定攻击行为及类型。通过异常的445端口通讯，判断10.41.10.219很可能在传播勒索病毒，可以优先考虑对其进行勒索病毒专杀工具进行查杀；

3.快速厘清正常通讯与异常通讯。如果图中10.41.10.219访问的是内网IP，并且被访问的IP本身是文件服务器或者打印服务器，这就可能是正常访问，反之就是异常访问。

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

逐句地看完这个帖子以后，我的心久久不能平静，震撼啊!为什么会有如此好的帖子!我纵横社区多年，自以为再也不会有任何帖子能打动我，没想到今天看到了如此精妙绝伦的这样一篇帖子。