环境介绍
NAT模式:
- kali攻击方
- win7受害者
- Metasploitable受害者
参数
关于nc端口扫描的进一步了解参见我之前的文章:图文介绍——NC使用笔记
nc只有简单的两种扫描方式,如下:
-z参数就是端口探测,默认使用TCP连接。
nc的端口扫描是从大到小,一旦能建立起三次握手,就发送FIN+ACK断开连接,然后扫描下一个端口。
nc -nvz 192.168.56.104 1-3000 #扫描win7的1-3000端口
nc -nvz 192.168.56.102 1-3000 #扫描meta的1-3000端口
nc -nvzu 192.168.239.132 1-65535 #UDP扫描win7的1-65535端口
数据包
TCP扫描
根据TCP端口扫描,发现:
- 类似nmap的SYN扫描
- 窗口大小是64240
- tcp的option字段是固定的
- 数据大小为空
- 存在高并发
得出规则:
alert tcp any any -> any any (msg:"nc TCP端口扫描"; flags:S; window:64240; tcp.option:"|02 04 05 b4 04 02 08 0a 06 60|"; dsize:0; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:5; rev:1;)
特别注意:在这一个数据包的多条对话中,会发现tcp.option是存在部分变化的!
由于tcp.option不是snort可识别的关键字,不做截图
UDP扫描
可以看到:
- 数据大小是1个字节
- 存在高并发
补充:受害者回发icmp包,icmp包的意思的端口不可达
得出规则:
alert udp any any -> any any (msg:"nc UDP端口扫描"; dsize:1; detection_filter:track by_src,count 100,seconds 5; metadata:service check-ports; sid:6; rev:1;)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134328.html
