网络扫描与网络诱捕

信息收集 - 目标基本信息

目标基本信息是指企业概况、企业理念、规模、产品、工商注册等信息。通过对目标基本信息的收集，攻击者可以对目标形成初步了解，定位其核心价值资产。

信息收集 - 目标组织架构

目标组织架构是进行企业流程运转、部门设置及职能规划等最基本的结构依据。在信息收集过程中出基本组织架构外还应对目标的分公司、子公司、母公司等进行详细的信息收集。通过组织架构信息情报的收集可以扩大攻击面、增加成功率。

信息收集 - 目标其他公开信息

目标其他公开信息包括目标新闻、论坛/会议发言、招投标信息、泄露的文库文件等各类信息。通过对此类信息情报的收集，加深对目标的了解，以备后续实施定向攻击。

通过目标官网、搜素引擎等进行此类信息收集。

信息收集 - 目标域名信息

目标域名信息收集包括对目标域名的whois信息、域名历史信息收集、注册人/注册邮箱/注册电话反查等。域名信息收集为技术手段信息收集的第一个步骤。

通过whois相关网站对域名信息进行收集。例如，在https://viewdns.info/ 网站上，对某域名的whois查询信息。

信息收集 - 目标域名信息

通过Whois反查可以通过邮箱查找到同一个邮箱备案的多个域名。这些域名通常在网络上有比较多的关联。

信息收集 - 目标子域名

目标子域名收集包括对目标的二级域名、三级域名、四级域名等进行收集。发现运行在隐藏的、被遗忘的子域名上的应用程序可能意味着发现关键的漏洞。子域名收集的深度和广度决定了进行攻击时的范围，在一定程度上也决定是否可以成功突破目标边界系统

信息收集 - 目标IP

目标IP即测试目标对外开放的应用于对外服务的IP地址。当通过子域名无法突破目标的防御时，通过对这些ip及其开放的端口和服务进行攻击，往往可以取得不错的效果。当目标体量很大时，其对外暴露的边界随之增大，甚至有不在管理及保护范围内的地址。

信息收集 - 邮件信息收集

邮件信息收集即收集目标存在的邮件地址及邮件登录系统。利用邮件地址即可以对目标进行口令暴力破解或钓鱼攻击。

信息收集 - 聊天群组（办公群组）

聊天群组信息即目标员工办公或者员工聊天沟通建立的群组信息。通过对该类信息尤其是办公群组信息的收集往往可以获取重要信息，甚至直接突破目标边界。利用手段一般为身份仿冒加入群组获取价值信息，部分群组甚至不需要审核即可查看内部敏感文件。

信息收集 - 历史漏洞

历史漏洞即以往在互联网公开的目标的各系统漏洞信息。利用此类信息可收集目标域名信息、ip信息（包括内网）、系统结构等，甚至可对修复不完善的漏洞进行二次利用。

历史漏洞信息收集的主要手段为通过搜索引擎进行收集。

网络扫描

网络扫描分为主机发现、端口扫描、服务识别、主机识别等。

主机发现

主机发现是为了探测网络中存活的主机，当扫描者与被扫描的IP在同一个网段中时，探测特定IP主机是否存活是简单可靠的，仅仅靠ARP请求与应答就可以确定。但是当两者不再同一个网段，考虑到网络中可能存在各种过滤行为（例如防火墙的安全策略），对端特定IP主机是否存活就难以判定。通常会尝试ICMP echo request（即Ping请求），通过对端是否有回应来判断主机是否存活，或者尝试连接对端IP可能打开的TCP端口，如果可以建立TCP连接则对端存活。例如常用网络扫描工具nmap，在执行主机发现时默认向对端IP发送 ICMP echo request、向443、80端口发送TCP SYN报文, 向80端口发送TCP ACK报文,以及一个ICMP timestamp request报文，只要收到了对端的任何回应，都会认为对端主机是存活的。

端口扫描

当扫描者发出SYN报文，如果对端回复SYN ACK报文，则对端端口是打开得，如果对端回复RST，则对端端口是关闭的，如果对端没有回复，则是对端主机不存在，或者网络、主机中的存在过滤行为（安全策略、ACL、iptables、主机防火墙等）。

另外，通常扫描工具会提供两种TCP扫描模式，例如nmap提供SYN扫描和TCP连接扫描两种方式，其差别在于其代码实现方式。所谓TCP连接扫描，就是扫描者通过socket来连接对端TCP端口，从网络行为上看，扫描者发送SYN报文，对算回应SYN ACK报文，扫描者还会回应一个ACK报文，完成一个完整的三次握手。而SYN扫描则是通过系统API直接构造SYN报文发送出去，对端回复SYNACK后也不会再发送ACK报文，并且其一个典型特征是其扫描过程中使用的TCP源端口是不变的。TCP SYN扫描可以有更高的性能，但是通常其运行需要的权限也更高，在linux上使用nmap的SYN扫描功能需要root权限，在windows上进行SYN扫描需要系统管理员权限。从防御者的角度来看，如果扫描者源IP来自内网，可以通过扫描行为的这个特征，来推测攻击者是否获得了主机的root权限。

而对于UDP端口扫描，则是通过向对端特定端口发送UDP数据报文，观察是否回复ICMP端口不可达报文来判断端口是否打开，某些主机系统会限制ICMP端口不可达报文得发送速率，着使得UDP端口扫描相较于TCP端口扫描要慢得多。

服务识别

如果识别到主机上开启的服务，甚至确定了服务软件的版本，则攻击者可以有更多的资源来进行攻击。

某些协议会主动告知访问者自己的身份，例如ssh，当客户端与服务器完成TCP握手时，会主动发送欢迎消息（banner），这其中就可能包含版本信息，具有这种特征的协议还有FTP、telnet、SMTP等

主机识别

可以通过一些简单的判断来粗略猜测对端主机的操作系统，例如如果主机打开了TCP3389端口，则很可能是windows主机，如果打开了22端口，则很可能是linux主机。

也可以从更多的维度来识别主机，例如网络报文的特点。为了实现丰富的功能，网络报文中包含有各种各样的字段，例如TCP选项、TCP的ISN（起始序列号）、IP ID等，不同的操作系统对这些字段的支持及使用偏好不同，因此可以通过报文中的特定字段来判断对端主机的操作系统。

防御网络扫描

对于端口扫描和主机发现，传统通常在网络设备上设置扫描阈值，如果某源IP访问其他IP地址的速率或者访问不同目的端口的速率超过了阈值，则将此行为视作扫描行为，并将源IP加入黑名单，从而阻断扫描者的扫描行为。

然而这种防御方法中，阈值的设定比较困难。如果阈值过低，则会产生较多的误报，将正常的访问流量阻断；如果设置过高，则无法识别扫描行为，并且无论阈值设为多少，扫描者都可以通过降低扫描速率来绕过检测，在内网横向渗透过程中，扫描有可能是手动进行的，其速率可能会很低。

华为安全解决方案提供了一种网络诱捕方案，综合使用蜜罐技术及引流技术，不仅可以阻止攻击者对网络展开的TCP端口扫描和主机发现，还可以利用蜜罐阻延、误导攻击者，同时掌握攻击者的意图及技术手段。

蜜罐

蜜罐作为一系列的服务，只能被动等待攻击者前来访问，如果攻击者没有注意到蜜罐提供的虚假服务，也就不会对蜜罐展开攻击，蜜罐的部署效率就会比较低下。

网络诱捕技术

诱捕技术方案由诱捕器和诱捕探针两部分组成，诱捕产生的日志信息还可以上送到华为CIS（Cybersecurity intelligence system，网络安全智能系统），由CIS进行关联分析、威胁呈现。

其中诱捕器可以理解为是一组蜜罐。诱捕器提供常见的网络服务，如HTTP、SMB、SSH等，并且这些服务通过容器技术与操作系统隔离，并预置了一些漏洞。这些漏洞用来引诱入侵者实施攻击，从而可以识别并记录攻击行为，并向攻击者提供虚假的信息，从而误导或拖延攻击进程。

诱捕探针可以是交换机或者防火墙的形态，负责识别网络中的扫描行为，包括主机扫描、端口扫描、非法域名访问等，并将流量引导至诱捕器。

诱捕探针

自动感知不存在IP诱捕

1. 攻击者（黑客、蠕虫等）攻击1.1.1.101，发起对1.1.1.101的ARP请求；
2. 交换机接收到此请求后，发现目的IP 1.1.1.101不存在，构造ARP应答报文给攻击者；
3. 攻击者接收到ARP回应后，以为1.1.1.101存在，继续发送后续报文，比如端口为80的SYN报文给1.1.1.101；交换机根据转发表把此报文通过隧道转发给“仿真服务1”；
4. “仿真服务1”对攻击者的流量进行回应，比如攻击者发SYN包，“仿真服务1”回应SYN-ACK，SYN-ACK又通过隧道转发给交换机；交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者；
5. 攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、SQL注入，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知路由MISS诱捕

1. 攻击者（黑客、蠕虫等）攻击2.2.2.200的80端口；
2. 交换机接收到此报文后，查询路由可以知道IP 2.2.2.200路由不可达，交换机根据一定的策略计算后把此SYN报文转发给“仿真服务1” ；
3.  “仿真服务1”对攻击者的流量进行回应，回应报文通过隧道转发给交换机；
4. 交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者；
5. 攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、SQL注入，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知ARP-MISS诱捕

1. 攻击者（黑客、蠕虫等）攻击2.2.2.200的80端口，往80端口发送SYN报文；
2. 交换机接收到此报文后，查询路由转发，添加二层头时发现无法查询到ARP，同时发现此IP状态为不在线，交换机把此SYN报文转发给“仿真服务1”；
3.  “仿真服务1”对攻击者的流量进行回应，回应报文通过隧道转发给交换机；
4. 交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者；
5. 攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、SQL注入，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知未开放端口诱捕

1. 攻击者（黑客、蠕虫等）试图连接1.1.1.200的80端口；
2. 业务主机由于未开放此端口，回应RST-ACK报文给攻击者；
3. 交换机接收到此回应报文后，根据历史学习结果可以知道此端口未开放，丢弃回应报文并构造新的SYN报文（源IP为1.1.1.100，目的IP为1.1.1.200）转发给诱捕器上的“仿真服务1”；
4.  “仿真服务1”对攻击者的流量进行回应，回应SYN-ACK，SYN-ACK又通过隧道转发给交换机；交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者；
5. 攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、SQL注入，诱捕系统根据行为可以完全确定是否为攻击者。

自动感知未知域名诱捕

1. 攻击者（黑客、蠕虫等）查询域名为XXX的IP地址；
2. DNS服务器回应此域名不存在；
3. 交换机丢弃未知域名DNS服务器应答报文，并以可诱捕IP回应域名存在；
4. 攻击者以可诱捕IP发送后续报文；
5. 交换机根据可诱捕IP把报文转发给“仿真服务1”；
6.  “仿真服务1”对攻击者的流量进行回应，回应报文通过隧道转发给交换机；交换机收到报文后，解封装隧道报文，把回应流量转发给攻击者；
7. 攻击者以为用户业务主机的端口开放，很可能发起进一步的攻击，比如发起暴力破解、SQL注入，诱捕系统根据行为可以完全确定是否为攻击者。

典型部署

交换机网关（靠接入侧）直路诱捕

在靠近接入侧网关交换机上开启诱捕探针。

成本低

对攻击路径覆盖最全，能对本区域和跨区域的攻击进行有效诱捕。

核心旁挂防火墙诱捕

在核心交换机旁挂防火墙作为诱捕探针，对需要诱捕的流量引流到防火墙进行诱捕处理后回注交换机。

优势：

可以复用防火墙其他功能。

可以诱捕跨区域攻击。

劣势：

对非本区域内的攻击行为无法诱捕。

接入或汇聚旁挂防火墙诱捕

在接入或汇聚交换机旁挂诱捕防火墙。

优势：

对现有网络业务影响最小

对防火墙性能要求低

可以诱捕本区域和跨区域的攻击

劣势：

依赖子网中存在未使用IP，子网中所有IP被100%占用时，诱捕功能失效。