译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1205
术语表: /attack/glossary
端口试探是一种较为成熟的技术,目的是隐藏开放的端口以控制访问,攻击者和防御者均可使用。 为了启用端口,攻击者需发送一系列具有特定特征的数据包。 通常,这些数据包包含关闭端口预定义的尝试序列(译者注:称为敲门序列),这可能涉及不常见的标志、特定的字符串或其他特征。 完成序列,通常由基于主机的防火墙开启端口,但也可以由自定义软件打开。 在动态开启监听端口和在不同系统上启动与监听服务器的连接时,都可以见到该技术。 可以通过不同的方法观察引发通信的数据包。 一种方法(最初由 Cd00r 实现)是使用 libpcap 库嗅探有问题的包。 另一种方法利用了原始套接字,这使得恶意软件可以使用供其他程序使用的开放端口。
可以通过使用状态防火墙来缓解此技术的某些变体,具体取决于它的实现方式。
记录发送到系统和从系统发出的网络数据包,查找不属于已建立的流的无关数据包。