看牌抢庄牛牛游戏

看牌抢庄牛牛游戏分析:来自暗网的声音

有时看看暗网数据并看看你遇到了什么很有趣在这种情况下,暗网是一组不包含真实主机的地址空间这意味着没有客户端工作站可以启动与Internet上的服务器的对话,也没有来自这些范围的广告服务,例如Web,DNS或数据库服务器你不应该看到这些范围内的地址的流量它应该像切尔诺贝利一样荒凉和荒废但是,在实践中,你会看到流量这可能是恶意软件试图找到机器感染的结果,或者探测作为研究项目的一部分,或者可能只是一个错误的配置或地址错误但大多数暗网流量很少是错误的结果上个月的三个星期我们检查了一些我们的暗网的Netflow流量数据Ciscorouter。tNetwork流量按流量排序,在TCP端口445上为主机探测到的流量百分比,通常用于通过TCP共享SMB文件下一个最高流量百分比是端口1433,MicrosoftSQLServer的默认值,它只占交通流量的3。09%看看这些数据,你会认为只根据流入暗网的流量来保证445端口的流量可能是一个非常好的主意但是其他流量呢?在端口1433流量中,我们发现TCP1433的同一主机进行了顺序扫描这意味着顺序扫描IP地址,如xxx1,然后是xxx2,然后是xxx3,后来又重新扫描如果流向TCP1433,则94。9%的源端口为6000。只有57个主机负责这些流量来自TCP6000端口三周在1013个独特的IP中,我们的暗网范围内扫描了TCP1433,57共享了TCP6000的重复源端口来自端口6000的所有流量并不是真正的预期行为,所以你可以假设这57个主机上可能有一个常见的工具或恶意软件如上表中的端口5060流量,只有0。041%的流量是TCP5060,剩下的是UDP5060,通常用于会话启动协议(SIP)我们的暗网看到673个唯一的IP地址SIP扫描,它与顺序扫描中的TCP1433扫描有相似之处,其中一个IP地址试图定位服务器在每个IP地址上侦听SIP在扫描范围内。SIP扫描没有使用端口6000,但使用其他端口源端口,例如UDP5060,5061,5062和36209。来自暗网的另一个有趣的发现是,673个IP中只有三个正在扫描TCP1433和UDP5060这是一个奇怪的发现但是它仍适用于其他港口吗?我选择更仔细检查的下一个是端口TCP22,这是SSH会话常用的端口我们流向TCP22的流量来自130个独特的IP,其中我们看到从四个相同的IP地址流向TCP1433端口,六个流向UDP5060端口所有三个端口之间共享多少共享?来自之前结果的三个IP地址相同让我们考虑一下这一点扫描SQLServer的1113个不同的IP地址,673个地址扫描SIP,130个地址扫描SSH在所有这些地址中,只有三个扫描所有三个服务其余部分专门针对某些服务进行扫描这意味着,如果您专门关注流氓SQLServer连接尝试并根据源IP地址主动阻止这些主机,那么它将对SSH等其他服务提供很少或没有保护对于每个接触互联网的服务,您必须单独考虑以确保服务得到充分保护一个服务的黑名单机制(例如SSH连接)可能几乎没有相关性,也不会对SIP或SQLServer等其他服务提供任何保护。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

相关文章阅读