跟蹤網(wǎng)絡(luò)掃描活動可以幫助研究人員了解哪些服務(wù)是目標。通過監(jiān)控掃描儀的來源，研究人員還可以識別受攻擊的終端。如果一臺主機突然開始自動掃描網(wǎng)絡(luò),，則表明它已經(jīng)被攻擊了。

　　本文總結(jié)了unit42研究人員在 2021 年 5 月至 8 月四個月期間的發(fā)現(xiàn),。平均下來,，研究人員每天在全球范圍內(nèi)識別75000個惟一掃描儀IP地址，枚舉超過9500個不同的端口,。在一個面向互聯(lián)網(wǎng)的終端上,，研究人員每天觀察1500個針對1900個端口的獨特掃描IP。由于并非每個掃描儀都掃描整個 IPv4 地址空間,，因此在每個終端上觀察到的掃描儀數(shù)量低于全球觀察到的掃描儀總數(shù),。

　　Samba、Telnet和SSH是被掃描次數(shù)最多的三個服務(wù),，占全球掃描流量的36%,。在研究人員觀察到的所有掃描儀中，64%的IP在四個月內(nèi)只出現(xiàn)一次,，而0.15%的IP每天都會出現(xiàn),。臨時IP的高百分比表明大多數(shù)掃描儀很難被跟蹤。另一方面,，大多數(shù)合法的掃描服務(wù)提供商,，如Shodan, Censys和Shadowserver，通常使用一組固定的IP,，并通過明確的用戶代理或域名來識別他們的掃描儀,。在GitHub上可以找到本研究中識別的最頻繁的掃描儀IP列表。

　　Prisma Cloud是一個綜合性的云本地安全平臺,，可以跨多個云服務(wù)提供商（csp）保護云工作載荷,。Unit 42 研究人員分析了 Prisma Cloud 收集的數(shù)萬億流量日志，以提取網(wǎng)絡(luò)掃描流量,。結(jié)合來自 AutoFocus 和 WildFire 的威脅情報,，Prisma Cloud 持續(xù)監(jiān)控針對研究人員客戶的惡意流量和源自研究人員客戶云環(huán)境的惡意流量,。

　　掃描流量識別

　　流量日志是一種特性，用于記錄進出云資源（如虛擬機,、容器和功能）的IP流量,。所有主流的csp都提供了各自版本的流程日志（AWS、Azure和GCP）,。與NetFlow數(shù)據(jù)一樣,，流程日志遠沒有完整的數(shù)據(jù)包捕獲詳細，但提供了大規(guī)模監(jiān)控網(wǎng)絡(luò)性能和安全問題的有效方法,。通常,，每條流程日志記錄包括源IP、目的IP,、源端口,、目的端口、IP協(xié)議號,、數(shù)據(jù)包大小,、字節(jié)大小和時間戳。根據(jù)CSP的不同,，每個流程記錄可能包括額外的特定于云的信息,，如帳戶ID和資源ID。NetFlow是一種網(wǎng)絡(luò)監(jiān)測功能,，可以收集進入及離開網(wǎng)絡(luò)界面的IP封包的數(shù)量及資訊,，最早由思科公司研發(fā)，應(yīng)用在路由器及交換器等產(chǎn)品上,。經(jīng)由分析Netflow收集到的資訊,，網(wǎng)絡(luò)管理人員可以知道封包的來源及目的地，網(wǎng)絡(luò)服務(wù)的種類,，以及造成網(wǎng)絡(luò)擁塞的原因,。

　　由于流程日志沒有第7層應(yīng)用程序信息，因此很難確定一個流程是否攜帶來自單個記錄的掃描有效載荷,。然而,，通過數(shù)萬個終端的流量日志，研究人員可以通過關(guān)聯(lián)多個csp,、區(qū)域和客戶之間的流量記錄,，識別掃描流量。如果源IP在短時間內(nèi)到達大量終端,，并且所有流程具有相似的字節(jié)/數(shù)據(jù)包大小,，則強烈地表明源IP正在執(zhí)行掃描操作。以下是研究人員用來在流量日志中識別掃描流量的指標和條件：

　　源 IP 到達不同 CSP、帳戶和區(qū)域的多個終端,；

　　源IP在短時間內(nèi)（例如6小時內(nèi)）到達所有終端,；

　　源IP使用相同的協(xié)議到達所有終端上的相同端口（例如TCP端口22）；

　　源 IP 在所有終端之間具有相似的流量模式,，特別是,，所有終端的數(shù)據(jù)包大小、字節(jié)大小和流量計數(shù)的差異需要低于閾值,。

　　掃描流量特征

　　互聯(lián)網(wǎng)范圍的掃描流量通常只執(zhí)行偵察,，不攜帶惡意載荷。然而,，攻擊者可以使用掃描結(jié)果來識別受害者,，了解受害者的基礎(chǔ)設(shè)施并找到潛在的入口點。從防御的角度來看,，網(wǎng)絡(luò)掃描信息可以幫助了解攻擊者的目標,。了解掃描流量后，SOC 分析師還可以將其從網(wǎng)絡(luò)日志中過濾掉,，從而提高取證工作的效率,。

　　總的來說，96%的掃描流量是TCP的,，只有4%的流量是UDP的,。下面兩個圖顯示了最頻繁掃描的端口和協(xié)議。下圖顯示了TCP掃描的前20個端口,，最后一個顯示了UDP掃描的前10個端口。每個欄上的標簽表示在特定的端口和協(xié)議上部署的最常見的服務(wù),。例如,，Samba服務(wù)通常運行在TCP端口445上，會話發(fā)起協(xié)議通常運行在UDP端口5060上,。

　　有趣的是,，排名前三的服務(wù)之一是一種已有半個世紀歷史的協(xié)議——Telnet。Telnet是一種簡單的命令行遠程服務(wù)器管理協(xié)議,，它不提供任何安全機制,，很早以前就被更安全的協(xié)議SSH所取代?；谥癠nit 42研究（Mirai 變體,，被利用的 SOHO 路由器），研究人員認為掃描流量是在搜索導(dǎo)致Telnet服務(wù)暴露和未受保護的錯誤配置的物聯(lián)網(wǎng)設(shè)備,。

　　前20個被掃描最多的TCP端口及其常用服務(wù)

　　前10個最常掃描的UDP端口及其常用服務(wù)

　　四個月內(nèi)每個掃描IP出現(xiàn)的天數(shù)

　　上圖顯示了觀察到每個掃描儀 IP 的天數(shù),，當一個掃描儀 IP 僅出現(xiàn)在某一天時，這表明該掃描儀在過去四個月內(nèi)從未重復(fù)使用相同的 IP。出現(xiàn)在所有 121 天的掃描程序表示該掃描儀每天使用靜態(tài) IP 掃描網(wǎng)絡(luò),?？偟膩碚f，64%的掃描IP在過去四個月只出現(xiàn)一次,，0.15%每天出現(xiàn)一次,。研究人員發(fā)布了他們每天觀察到的IP子集。這些IP在過去90天內(nèi)掃描了10個目標端口,。

　　總結(jié)

　　網(wǎng)絡(luò)掃描活動就像是互聯(lián)網(wǎng)上的背景噪音,，它們很普遍，但沒有針對性,。主要目標是訪問盡可能多的主機,，并確定這些主機上的活動服務(wù)。掃描流量通常不是惡意的,，只需要最小的帶寬,。然而，攻擊者可以利用掃描結(jié)果來識別潛在的受害者,。攻擊者只需幾分鐘就能發(fā)現(xiàn)網(wǎng)絡(luò)上新暴露的服務(wù),。如果服務(wù)具有不安全的配置或已知漏洞，攻擊者可以在幾秒鐘內(nèi)攻擊它,。

　　由于大多數(shù)掃描IP都是動態(tài)的（64%）,，因此很難跟蹤或阻止掃描流量。