端口掃描是網絡中常見的行為之一。網絡管理員利用端口掃描可以檢測自己網絡的健康狀況，用以修補漏洞、制定完善的安全策略；黑客利用端口掃描可以發現目標網絡/主機中存在的漏洞，為后續的進一步入侵做準備。本案例是一次典型的針對網絡中Windows系統和MS SQL Server數據庫服務器漏洞的端口掃描行為。

環境說明：本案例為某實驗性網絡，內部主機使用公有IP地址。核心交換機上部署了科來回溯式分析服務器，通過端口鏡像將內部網絡的流量導入回溯式分析服務器。

案例分析：

某日上午在分析系統控制臺上將趨勢圖表設置為“TCP分析”狀態時，偶然發現有兩個時刻網絡中TCP同步包數量明顯增多。TCP同步包最多時達到了TCP同步確認包的兩倍還多，而通常情況下TCP同步包數量只會略多于TCP同步確認包。于是選取了其中一個峰值約15秒的時間段，在“IP地址”瀏覽頁面按照“發TCP同步包”進行排名，發現某IP地址15秒內發送了773個TCP同步包排名第一，而該IP總發包量才868個。這顯然不是一個正常現象。

于是下載該IP的數據包進行深入分析。在IP會話列表中看到該IP地址與內網的每一個IP都有IP會話，這是對網段內所有主機進行掃描的典型特征。

從上圖中可以看出攻擊者對每臺主機發送了至少3個TCP同步報文，目標端口是每臺主機的RPC（135）、MSSQL（1433）和CIFS（445）。圖中數據包總量為3的是主機不存在或未作響應；數據包為6的是主機對掃描著回應了TCP重置或ICMP目標不可達消息，表示攻擊者訪問的端口沒有開放；而有幾臺主機與攻擊者交換了幾十個數據包，說明在這幾臺主機上的上述3個端口有一個或多個可以訪問，攻擊者對這幾臺主機進行了深入的漏洞掃描。

TCP 135和445是用于Windows遠程過程調用和文件共享的端口。在Windows 2003 SP1之前的系統中這兩個服務存在比較大的漏洞，常被一些蠕蟲病毒利用，如早年的沖擊波和震蕩波，攻擊者也會利用這兩個端口對系統進行入侵。

TCP 1433是SQL Server的服務端口,黑客可以利用它進行弱口令嘗試，如果成功就可能獲得目標主機的系統權限。

為了看到攻擊者對那幾臺開放端口的主機做了什么，把界面切換到“TCP會話”，深入分析攻擊者進行漏洞掃描的行為。

此次針對SQL Server的掃描每次會話為11到12個報文不等，選取其中某個會話在數據流頁面中能夠明顯看到攻擊者在嘗試sa口令，從上圖中服務器的回應數據，可以判斷從服務器在回應口令嘗試后立刻終止了會話來推測此次嘗試并未成功。

從針對CIFS的掃描會話的數據流視圖中能夠明顯的看出IPC$連接請求，和命名管道的訪問請求，可以看出這是針對Windows 2003 SP1以前版本”\pipe\browser”命名管道漏洞的攻擊嘗試。被掃描系統是Windows Server 2003 R2 SP2并不會受到影響。

建議：此次端口掃描過程時間不長，但類似的行為曾多次出現，并且在其他時段發現了數個不的同源IP地址在對內網進行掃描。雖然都沒有造成實質的破壞，但還是建議在邊緣設備上過濾不必要的TCP端口訪問，尤其是135、445、1433等通常只對內網提供服務的端口。