附件链接:https://pan.baidu.com/s/1g7dMAFufEYIxGsAL6oOk-Q
提取码:l3km
- 首先第一个问题显而易见是
Nmap的端口扫描和服务识别,且tcp contains "nmap"可以流量中发现很多Nmap关键字 - 从流量整体来看,大部分流量包并没有建立起TCP全连接,所以这里应该是
TCP SYN扫描,也叫半连接扫描或者半开放扫描 - 一直在尝试对其他IP发起TCP连接的扫描的IP也显而易见就是
192.168.0.4 - TCP扫描端口,如果端口开放,则服务端会返回
SYN + ACK标志位都处于Set状态的包 - 利用过滤器:
tcp.flags.syn==1 and tcp.flags.ack==1,过滤出两个标志位都处于Set状态下的包,然后包中的源端口即是扫描到的开放端口:80、135、139、445、3389、3306、49157、49165、49155、49154、49153、49152 tcp contains "Apache"查找关键字即可在HTTP响应头中发现Apache/2.4.23
