我們知道如果黑客想入侵一個網絡，他需要更多的了解一個網絡的信息，包括網絡拓撲結構，哪些主機在運行，有哪些服務在運行，主機運行的是什么系統，以及該系統主機有沒有其他漏洞，和存在一些弱口令等情況等。只有在充分了解了足夠多的信息之后，入侵才會變成可能。而黑客入侵之前的掃描是一個比較長時間的工作，同時現象也是比較明顯的。我們通過網絡分析手段可以很好的把握入侵特征。網絡掃描工具很多，比較有名的如國產的冰河和國外的X-scan 等軟件。

選用工具：X-SCAN 3.3

目標網絡：本地局域網 192.168.10.1/24

分析軟件：科來網絡分析系統2010 beta版

分析過程

本文選用的一款比較普遍的網絡掃描工具X-SCAN 版本為3.3 。我們在掃描網絡之前需要對X-SCAN進行設置，具體設置可以從網上搜一些教程。掃描網絡為192.168.10.1/24，抓取位置選為本機抓包方式（即在攻擊主機上進行抓包）。

抓包從X-Scan 掃描開始，到掃描結束。抓包后的數據位10M（中間有些數據有其他通信產生）持續時間大概為10分鐘。

首先，10分鐘產生10M的數據量是不大的，這也就是說單個主機的掃描其實是不占用很多網絡帶寬的，如圖：

上圖也反映了一些特征，我們看到，抓包網絡內的數據包長只有111.3Byte，這個平均包長是偏小的，而且數據包大小分析發現<=64字節和65-127字節之間的數據占了絕大多少，這就充分說明了網絡中有大量的小包存在。

我們接下來看下診斷信息能給我們什么提示：

如圖，我們發現存在大量的診斷事件產生，10M不到的數據竟然產生了2W5的診斷條目，而且大多數是傳輸層的診斷，出現了 TCP端口掃描 等比較危險的診斷信息。我們看到有兩項的診斷出現次數較多“TCP連接被拒絕”“TCP重復的連接嘗試”兩個診斷大概出現了1W1次以上，我們可以將與這兩個診斷相關的信息進行提取查看“診斷發生的地址”然后按照“數量”來排名發現 一個IP  192.168.10.22 這個IP 發生的診斷數據最多。而且診斷“TCP端口掃描”的源IP 就是192.168.10.22 這個IP。

我們定位192.168.10.22這個IP，然后查看TCP會話選項。如圖：

我們發現 192.168.10.22這個IP的會話數量很多，而且會話是很有特征的。我們選取了其中針對192.168.1.101的21端口的一段會話進行查看，22與101之間的會話很多，而且都是一樣的特征，建立連接后發送一次密碼，被拒絕后再發起另一次會話。此為明顯的暴力破解FTP密碼行為。除了FTP之外還有針對445 和139端口的破解，以及內網服務的檢查等。正是這種破解和掃描形成了如此多的會話條目。

此外，我們可以從日志選項中查看一些現場，以下是日志的截圖：

掃描主機 在看到 192.168.10.2 有80端口開放后，發起一些針對HTTP的探測，用不同的路徑和不同的請求方法，視圖取得HTTP的一些敏感信息和一些可能存在的漏洞。

這種黑客的掃描得出的結果還是很詳細和危險的，在不到10分鐘之內，就將一個局域網內的各主機的存活，服務，和漏洞情況進行了了解，并且取得了一些效果。例如本次掃描發現一臺FTP 服務器的一個賬號 test 密碼為123456 的情況，這種簡單的密碼和賬號最好不要留下，及時的清理。

總結

掃描行為，主要有三種，ICMP掃描用來發現主機存活和拓撲，TCP 用來判斷服務和破解，UDP確定一些特定的UDP服務。掃描是入侵的標志，掃描的發現主要是靠平時抓包分析，和日常的維護中進行。最好能夠將科來長期部署在網絡中，設定一定的報警閥值，例如設置TCP SYN 的閥值和診斷事件的閥值等，此功能是科來2010新功能之一，很好用。

掃描的防御很簡單，可以設置防火墻，對ICMP不進行回應，和嚴格連接，及會話次數限制等。