半年没玩机会碰到驱动了,最近才有机会研究了下所谓防黑墙demo
1.摄像头是过滤设备控制码
2.远控的话,就只能通信协议特征了
3.端口扫描/黑客端口扫描,这个花的时间比较多了,一般检测办法核心是tcp 的syn包连接的频率,另一个是敏感端口,如80 21 135 139 445 3389等等.另外我还加强了下,迷惑扫描者,伪造端口开放信息,可以看最后一张nmap的扫描截图。
这块研究任务完成。
1.摄像头是过滤设备控制码
2.远控的话,就只能通信协议特征了
3.端口扫描/黑客端口扫描,这个花的时间比较多了,一般检测办法核心是tcp 的syn包连接的频率,另一个是敏感端口,如80 21 135 139 445 3389等等.另外我还加强了下,迷惑扫描者,伪造端口开放信息,可以看最后一张nmap的扫描截图。
这块研究任务完成。