+
永恒之蓝
原理
利用 Windows 系统的
SMB 协议
漏洞来获取系统的最高权限,从而控制被入侵的计算机。攻击流量通常出现在以下端口上:
TCP 端口 445
TCP 端口 139
UDP 端口 137/138
流量特征
1.
大量的 TCP 连接请求和数据包
:
攻击者会发送大量的 TCP 连接请求到目标系统的 TCP 端口 445,这是 SMB 协议的默认端口。
这些请求可能包含特制的 payload 用于触发漏洞,导致网络上出现异常高的 SMB 流量。
2.
数据包大小异常
:
攻击流量中可能会有一些数据大小异常的流量包请求。这些包可能包含特制的恶意 payload,数据包的大小和内容与正常的 SMB 流量不一致。
3.
登录日志中
首先会有4625登录失败然后4624登陆成功
smb协议
SMB(全称是Server Message Block)是一个协议服务器信息块,它是一种客户机/服务器、请求/响应协议,通过SMB协议可以在计算机间共享文件、打印机、命名管道等资源,电脑上的网上邻居就是靠SMB实现的;SMB协议工作在应用层和会话层,可以用在TCP/IP协议之上,SMB使用TCP139端口和TCP445端口