2013年11月24日 星期日

思科:Port 0出現不尋常流量高峰 疑駭客進行偵察攻擊

思科:Port 0出現不尋常流量高峰 疑駭客進行偵察攻擊


根據思科系統(Cisco System)安全研究人員指出,上週末在通訊埠0(Port 0)上所偵測到的TCP(Transmission Control Protocol)封包激增現象,很有可能是駭客為重大攻擊做準備的前置偵察作業之一。

系統上通常不會存在監聽啟用通訊埠0的服務存在,因為根據國際網路位址分配機構(Internet Assigned Numbers Authority, IANA)發佈的「傳輸通訊協定通訊埠指派」的內容顯示,通訊埠0是個「保留通訊埠」,所以不會被啟用。因此,在通訊埠0上接收到TCP封包,是很不尋常的事情。

「一般而言,通訊埠0上發現流量,很有可能是遭到偵察攻擊的跡象,同時也可能是更多重大滲透攻擊的前兆,」思科安全威脅研究團隊技術負責人Craig Williams於週一的部落格上貼文指出。

惡意攻擊者可以透過這類異常封包,來對作業系統與網路安全裝置進行偵蒐,因為不同的作業系統與網路設備,對於通訊埠流量會有不同回應,該安全人員表示:「如此一來,可讓攻擊者透過更精準的嘗試來劫持網路。」

上星期六,隨著流量以及偵測到該惡意活動之感測器的數量增加,思科在通訊埠0上看到很大的TCP流量高峰。由感測器所觀察到的流量幅度,比平常高出5倍之多,Williams表示。

最高流量來自於8個指派給荷蘭分散式伺服器代管暨內容遞送服務供應商Ecatel的IP位址,Williams表示。

「我們不清楚這些封包的意圖為何,」該安全研究人員指出:「其有可能只是透過作業系統與服務包(service pack),繪製部分網際網路分佈圖的單純研究計畫,也有可能是攻擊者邪惡之舉的準備工作。」

資料來源:CSO
轉載自《網路資訊雜誌》