原创力文档网络安全攻防实战手册
第1章网络环境识别与侦察
1.1主流攻击流量特征识别
需利用tcpdump或Wireshark抓取目标网络内的网络层(IP)和传输层(TCP/UDP)数据包,重点关注源IP为/8、/12或/16段且端口号为445、139或3389的流量,这些是常见的SMB文件和RDP远程桌面攻击特征。接着,分析TCP三次握手过程中的“慢启动”阶段,若发现SYN包数量突增且ACK包紧随其后但连接未建立,这通常是暴力破解(BruteForce)或字典攻击的典型特征,表明攻击者正在尝试遍历常见密码组合。
观察ICMP协议包中“
文档评论(0)