20199319 2019-2020-2 《網絡攻防實踐》第九周做業

時間 2020-06-20

原文原文鏈接


這個做業屬於哪一個課程	https://edu.cnblogs.com/campus/besti/19attackdefense
這個做業的要求在哪裏	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10695
我在這個課程的目標是	學習並掌握網絡攻防知識，能完成相關實踐
這個做業在哪一個具體方面幫助我實現目標	學習惡意代碼相關知識，並利用工具對惡意代碼進行分析

惡意代碼安全攻防

1.知識點梳理與總結

惡意代碼基礎知識

一、惡意代碼：指是計算機按照攻擊者的意圖執行以達到惡意目標的指令集。html

攻擊目標：炫技；遠程控制被攻擊機；竊取信息；竊取計算、存儲、帶寬資源；拒絕服務、進行破壞活動；

類型：

基於多維度標籤的惡意代碼形態分類：

二、惡意代碼的發展：linux

1983正式定義，80年代進入中國；
複雜度和破壞力不斷加強；創新頻繁；惡意代碼重點轉移到蠕蟲和內核級攻擊工具；ios

三、計算機病毒：算法

計算機病毒基本特性：（1）感染性（自我複製，判斷計算機病毒首要依據）；（2）潛伏性（感染過程隱蔽）；（3）可觸發性（知足特定條件後，激活感染機制）；（4）破壞性（炫技；破壞計算機系統正常運行）；（5）衍生性。編程

計算機病毒的感染和引導機制：
潛在感染目標分爲如下三類：windows

（1）可執行文件。以可執行文件爲宿主，當其被用戶運行時，依附在上面的病毒被激活。三種感染方式：前綴感染機制、後綴感染機制和中間插入感染機制。
前綴感染機制指病毒將自身複製到宿主程序的開始，宿主程序被執行時，系統會先運行病毒代碼；
後綴感染機制指病毒將自身複製到宿主程序的末端，在宿主程序開始時加一條跳轉指令，使病毒代碼先執行再跳轉到宿主程序；
中間插入感染機制指把病毒代碼放在宿主程序中間，使得病毒更隱蔽但編寫難度較大。

（2）引導扇區。計算機啓動過程：BIOS定位到磁盤主引導區；運行主引導區存儲的主引導記錄；主引導紀錄從分區表找到第一個活動分區；讀取並執行該分區的引導記錄，分區引導記錄負責裝載操做系統。感染目標:主引導區、分區引導區。經過感染引導記錄，病毒就能夠在系統啓動時先於操做系統獲取系統控制權。

（3）支持宏指令的數據文件。數據文件中包含的可執行指令即宏指令。
宏病毒將自身以宏指令方式複製到數據文件中，當文件打開時自動執行宏病毒。

計算機病毒的傳播機制：基於硬件的包括軟盤、U盤、SD卡等；基於網絡的主要包含電子郵件及下載、共享文件等。安全

四、網絡蠕蟲：服務器

網絡蠕蟲的基本特性：經過網絡自主傳播，無需人爲干預；不須要感染宿主；遞歸方式傳播；網絡

計算機病毒與網絡蠕蟲對比：
數據結構

網絡蠕蟲的組成結構：

（1）彈頭：滲透攻擊，包括緩衝區溢出攻擊、共享文件攻擊、利用電子郵件傳播和其餘廣泛配置錯誤等；

（2）傳播引擎：經過在目標系統上執行傳播引擎指令，完成蠕蟲樣本的傳播。方式有FTP/TFTP/HTTP/SMB等；

（3）目標選擇算法和掃描引擎：一旦蠕蟲在受害計算機中運行，目標選擇算法開始尋找新的攻擊目標，利用掃描引擎掃描每個由目標選擇算法肯定的地址，肯定其是否能夠被攻擊。目標包括電子郵件地址、主機列表、被信任的系統、網絡鄰居主機、域名服務和經過特定規則任意選擇目標IP。

（4）有效載荷：附加的攻擊代碼，執行一些特殊目地的操做，包括植入後門、安裝分佈式拒絕服務攻擊代理、組建僵屍網絡、執行一個複雜計算等。

五、後門與木馬

後門：容許攻擊者繞過系統常規安全控制機制的程序，按照攻擊者本身的意圖提供訪問通道。
類型：本地特權提高、單個命令的遠程執行、遠程命令行解釋訪問器(NetCat)、遠程控制GUI(VNC、BO、冰河、灰鴿子)、無故口後門(ICMP後門、基於Sniffer非混雜模式或混雜模式的後門)。

木馬：特洛伊木馬，看起來具備某個有用或善意目的，但實際掩蓋着一些隱藏惡意功能的程序。
木馬假裝技術：命名假裝、使用軟件包裝工具、攻擊軟件發佈站點、代碼下毒。

六、殭屍程序與僵屍網絡

僵屍網絡定義：攻擊者出於惡意目的，傳播殭屍程序控制大量主機，並經過一對多的命令與控制信道所組成的網絡。

僵屍網絡功能結構：主要分爲主體功能和輔助功能。主體功能包括命令與控制模塊（核心）、傳播模塊，輔助功能分爲信息竊取模塊、主機控制模塊、下載更新模塊、防分析檢測模塊。

IRC僵屍網絡工做機制：
（1）攻擊者滲透攻擊，感染殭屍程序；
（2）僵屍網絡嘗試加入指定IRC命令與控制服務器；
（3）攻擊者使用廣泛動態域名服務獎殭屍程序鏈接的域名映射到多臺IRC服務器；
（4）殭屍程序加入攻擊者私有IRC命令與控制信道；
（5）加入信道的殭屍程序監聽控制指令；
（6）攻擊者發出信息竊取、殭屍主機控制核工記命令；
（7）殭屍程序執行命令。

僵屍網絡的命令和控制機制：
基於IRC協議的命令和控制機制、基於HTTP協議的命令和控制機制（通常可繞過防火牆）、基於P2P協議的命令與控制機制（更隱蔽）

七、Rootkit

定義：一種特洛伊木馬後門工具，經過修改現有的操做系統軟件，使攻擊者得到訪問權並隱藏在計算機中。用來獲Root後門訪問的kit工具包。

用戶模式Rootkit：修改操做系統在用戶態的程序和庫文件。分爲五種類型：提供後門訪問的二進制替換程序、隱藏攻擊者的二進制替換程序、用於隱藏但不替換的二進制程序、一些零散工具（網絡嗅探器）、安裝腳本。

內核模式Rootkit：修改操做系統內核，更深的隱藏和更強的隱蔽性。技術手段：文件和目錄隱藏、進程隱藏、網絡端口隱藏、混雜模式隱藏、改變執行方向、設備截取和控制。

惡意代碼分析方法

一、代碼分析：按需求使用必定的規則、方法和工具對計算機程序進行分析，以推導出其程序結構、數據流程和程序行爲的處理過程。

惡意代碼分析的技術方法主要包括：靜態分析和動態分析。
分析良性代碼與分析惡意代碼的區別：
不能提早知道惡意代碼的目的。
惡意代碼具備惡意的攻擊目的，會對所運行環境進行惡意破壞。
惡意代碼分析在絕大數狀況下不會擁有待分析程序的源代碼。
惡意代碼目前都會引入大量各類各樣的對抗分析技術。

二、惡意代碼分析環境

惡意代碼發燒友的分析環境：利用集線器或者交換機把計算機鏈接在一塊兒。

採用虛擬化技術構建惡意代碼分析環境：保證宿主計算機不要鏈接業務網絡和互聯網。

用於研究的惡意代碼自動分析環境：專業人員使用的，分爲靜態分析機、動態分析機、網絡分析機和綜合分析機。

三、惡意代碼靜態分析技術

定義：經過反病毒引擎掃描識別已知的惡意代碼家族和變種名，逆向分析惡意代碼模塊構成，內部數據結構，關鍵控制流程等，理解惡意代碼的機理，並提取特徵碼用於檢測。

惡意代碼靜態分析方法列表：

反病毒軟件掃描：使用反病毒軟件掃描分析樣本，以識別類型、家族、變種等信息。卡巴斯基、諾頓、瑞星、金山、360、VirtusTotal等。

文件格式識別：windows平臺，二進制文件EXE和DLL以PE文件格式組織，linux平臺上是ELF。工具：file(肯定文件類型以及支持平臺)；peid(文件類型、編譯連接器版本、加殼識別)；FileAnalyzer等。

字符串提取：可能獲取的信息包括惡意代碼實例名、幫助或命令行選項、用戶會話、後門口令、相關URL信息和Email地址、包含庫文件和函數調用。工具：strings、IDA Pro、Strip（刪除不可執行的標記性信息）；

二進制結構分析：工具：binutils。nm指令在可執行二進制文件中查找重要數據元素。objdump從目標文件中顯示不一樣類型的信息；反彙編。
反彙編：把二進制程序從二進制機器指令碼轉換爲彙編代碼。工具IDA Pro。
反編譯：將彙編代碼還原成高級編程語言。

代碼結構與邏輯分析：核心任務，針對反彙編和反編譯的結果。Call Graph：用戶函數、系統函數和函數調用關係。程序控制流圖CFG，程序邏輯分析。

加殼識別和代碼脫殼：夾克混淆機制包括：加密(採用固定加密/解密器)、多樣性(使用多樣化解密器)、多態(惡意代碼能隨機變換解密器，使得每次感染所生成的惡意代碼具備惟一性，必須脫殼才能檢測分析)、變形(直接在惡意代碼原有形態上加入各類代碼變換形態)。
對惡意代碼的加殼識別工具：PEiD、pe-scan、fileinfo等
脫殼工具：針對UPX，-d選項自動脫殼；針對PEPack，使用UnPEPack；針對ASPack，使用ASPack unpacker；VMUnpacker等。

四、惡意代碼動態分析技術（實驗環境必定要與業務網絡和互聯網徹底斷開！）

惡意代碼動態分析方法列表:

快照比對：對「乾淨」資源列表作快照；激活惡意代碼；對惡意代碼運行後的「髒」資源列表作快照；對比兩個快照，獲取惡意代碼行爲結果。

系統動態行爲監控：核心。包括基於行爲機制(Win32/Linux系統提供的行爲通知機制)和API劫持技術(對API調用進行劫持，監控行爲)。

網絡監控：惡意代碼開放的端口（nmap）、惡意代碼發起的網絡鏈接（tcpdump/wireshark）。

動態調試：在程序的執行過程當中進行調試。

2.實踐過程

實驗一：惡意代碼文件類型識別、脫殼和字符串提取

對提供的rada惡意代碼樣本（雲班課），進行文件類型識別，脫殼與字符串提取，以得到rada惡意代碼的編寫做者，具體操做以下：
（1）使用文件格式和類型識別工具，給出rada惡意代碼樣本的文件格式、運行平臺和加殼工具；
（2）使用超級巡警脫殼機等脫殼軟件，對rada惡意代碼進行脫殼處理；
（3）使用字符串提取工具，對脫殼後的rada代碼進行樣本分析，從中發現rada惡意代碼的編寫做者是誰。

實踐在WinXP上進行，上面已經安裝各類分析軟件。

在cmd中切換到惡意程序所在的目錄，使用【file RaDa.exe】命令查看 RaDa.exe的文件類型。能夠看到該程序是一個Windows平臺下32位的二進制可執行文件，GUI表示這個程序是一個有圖形界面的程序，intel 80386是處理器架構。

而後使用【strings RaDa.exe】查看該程序可打印字符串，結果發現可打印的字符串爲亂碼，判斷該程序採用了加殼技術，接下來分析使用了哪一種加殼工具。

使用PEiD工具查看RaDa.exe使用的加殼工具，能夠看到使用的加殼工具爲UPX，還能夠看到文件的入口點、偏移等信息。

使用超級巡警自動脫殼對RaDa.exe進行脫殼，能夠看到在RaDa.exe同目錄下生成了一個脫殼之後的程序RaDa_unpacked.exe

用【strings RaDa_unpacked.exe】查看脫殼後的RaDa.exe即RaDa_unpacked.exe，能夠看到正常顯示信息

打開IDA Pro Free選擇脫殼以後的文件，便可看到rada惡意代碼的編寫做者。

實驗二：分析Crackme程序

在WinXP Attacker虛擬機中使用IDA Pro靜態或動態分析crackme1.exe和crackme2.exe，尋找特定的輸入，使其可以輸出成功信息。

依舊選擇WinXP虛擬，採用靜態分析，而且以防萬一斷開了虛擬機的網絡。

在惡意程序所在目錄下，使用【file crackme1.exe】和f【ile crackme2.exe】命令查看兩個文件信息，兩個文件均爲windows系統下32位的二進制可執行程序，使用控制檯操做。

先分析crackme1.exe。執行crackme1.exe，嘗試輸入不一樣類型不一樣數量的參數（數值、字符、字符串）執行，發現輸入一個參數與輸入多個參數時有不一樣的輸出，推測該程序的輸入爲一個參數。

利用IDA Pro Free打開crackme1.exe，經過Strings窗口能夠看到4個字符串

接下來在【View->Graphs->Function calls】中打開函數調用圖，能夠看到用於輸出的print/fprint功能在sub_401280中，因此接下來查看sub_401280以尋找程序運行結果的輸出狀況。

在Functions裏找到sub_401280的彙編代碼，能夠看到經過比對輸入的參數，輸出不一樣的結果。其中，cmp [ebo+arg_0],2 判斷程序是否超過兩個參數，cmp是比較兩個操做數的大小，若是輸入參數不小於2是則返回「I think you are missing something.」。下面又利用strcmp比較用戶輸入參和「I know the secret」，一致則輸出「You know how to speak to programs, Mr. Reverse-Engineer」，不然輸出「Pardon? What did you say?」

輸入【crackme1.exe 「I know the secret」】進行驗證，結果能夠輸出成功信息。

同理下面分析crackme1.exe。直接利用IDA Pro Free打開crackme2.exe，經過Strings窗口能夠看到5個明文字符串。

接下來在【View->Graphs->Function calls】中打開函數調用圖，能夠看到用於輸出的fprint功能在sub_401280中，因此接下來查看sub_401280以尋找程序運行結果的輸出狀況。

在Functions裏找到sub_401280的彙編代碼，能夠看到經過比對輸入的參數，輸出不一樣的結果。其中，一樣先判斷程序是否超過兩個參數，若是輸入參數不小於2是則返回「I think you are missing something.」；接着用strcmp函數對argv裏面的第一個字符串，由於是arg_4（32位系統中堆棧指針每次變化4字節）即程序名，和「crackmeplease.exe」進行判斷，若是不一致，則輸出「I have a identity problem」，一致則繼續判斷用戶的輸入與「I know the secret」是否一致，若不一致，則輸出「Pardon? What did you say?」，一致則輸出正確結果。

由上述分析可知，要獲得正確輸出，首先程序名要使用crackmeplease.exe，故先將crackme2.exe複製爲crackmeplease.exe，再輸入【crackmeplease.exe 「I know the secret」】進行驗證，結果能夠輸出成功信息。

實驗三：樣本分析，分析一個自制惡意代碼樣本

深刻分析這個二進制文件，並得到儘量多的信息，包括它是如何工做的，它的目的以及具備的能力，最爲重要的，請展現你獲取全部信息所採起的惡意代碼分析技術。
（1）提供對這個二進制文件的摘要，包括能夠幫助識別同同樣本的基本信息。
（2）找出並解釋這個二進制文件的目的。
（3）識別並說明這個二進制文件所具備的不一樣特性。
（4）識別並解釋這個二進制文件中所採用的防止被分析或逆向工程的技術。
（5）對這個惡意代碼樣本進行分類（病毒、蠕蟲等），並給出你的理由。
（6）給出過去已有的具備類似功能的其餘工具。
（7）可能調查出這個二進制文件的開發做者嗎？若是能夠，在什麼樣的環境和什麼樣的限定條件下？

首先按照實踐一的過程對RaDa.exe進行分析。過程簡略描述，利用【file RaDa.exe】分析該惡意程序的運行環境，結果爲win32位程序，有圖形界面；用【strings RaDa.exe】輸出結果亂碼，爲加殼文件；用PEiD判斷UPX殼；用超級巡警進行脫殼。

使用MD5生成RaDa.exe的摘要信息，摘要內容爲【caaa6985a43225a0b3add54f44a0d4c7】

打開process explorer和wireshark進行監聽，而後運行RaDa.exe。在process explorer中雙擊RaDa.exe查看程序運行詳細信息，能夠看到改程序首先使用http鏈接到目標爲10.10.10.10的主機下的一個名爲RaDa_commands的網頁上，而後下載和上傳了一些文件，以後在受害主機C盤建立兩個文件夾【C:/RaDa/tmp】和【C:/RaDa/bin】，接着往下有一條DDos攻擊的語句。

接着往下，能夠看到對註冊表進行讀寫和刪除操做

接着能夠看到一些命令：exe（在宿主主機中執行指定的命令）；put（將宿主主機中的指定文件上傳到服務器）；get（將服務器中的指定文件下載到宿主主機中）；screenshot（截取宿主主機的屏幕並保存到tmp文件夾）；sleep（中止活動一段時間）；而後下面緊跟着能夠看到這個惡意程序的做者。

下面分析wireshark監聽的數據。能夠看到受害主機向10.10.10.10的80端口發送了大量的數據包，但追蹤數據流沒有什麼內容。

（1）提供對這個二進制文件的摘要，包括能夠幫助識別同同樣本的基本信息。

MD5摘要信息：caaa6985a43225a0b3add54f44a0d4c7
運行環境：Windows平臺下32位的二進制可執行文件，有圖形化界面
使用了UPX進行加殼

（2）找出並解釋這個二進制文件的目的。
當用戶鏈接互聯網時，該程序就會經過http請求鏈接到指定主機，進行接受攻擊者指令操做

（3）識別並說明這個二進制文件所具備的不一樣特性。
RaDa.exe被執行時，它會在實驗主機的C盤下建立了一個RaDa目錄，並建立一個bin文件夾，一個tmp文件夾，tmp文件夾用來臨時存儲從目標主機下載到受害主機的文件和從受害主機獲取的文件信息，bin文件夾中安裝了一個RaDa.exe可執行文件。

（4）識別並解釋這個二進制文件中所採用的防止被分析或逆向工程的技術。
該二進制文件使用了UPX加殼，須要脫殼處理才能進行反編譯分析的。

（5）對這個惡意代碼樣本進行分類（病毒、蠕蟲等），並給出你的理由。
由於這個樣本不具備傳播和感染的特色，因此它不屬於病毒和蠕蟲。它也沒有將本身假裝成有用的程序以欺騙用戶運行，因此不屬於木馬。經排除它多是一個後門程序或殭屍程序。

（6）給出過去已有的具備類似功能的其餘工具。
Bobax–2004也是使用http方式來同攻擊者創建鏈接，而後解析並執行其中的指令。

（7）可能調查出這個二進制文件的開發做者嗎？若是能夠，在什麼樣的環境和什麼樣的限定條件下？
有上面的分析可知，此二進制文件是Raul siles和David Perze於2004年編寫的。

實踐四：取證分析，Windows 2000系統被攻破並加入僵屍網絡

數據源是Snort收集的蜜罐主機5天的網絡數據源，並去除了一些不相關的流量，同時IP地址和其餘敏感信息被混淆。回答下列問題：
（1）IRC是什麼？當IRC客戶端申請加入一個IRC網絡時將發送哪一個消息？IRC通常使用哪些TCP端口？

IRC是因特網中繼聊天（Internet Relay Chat）的簡稱。IRC 的工做原理：在本身的PC上運行客戶端軟件，而後經過因特網以IRC協議鏈接到一臺IRC服務器上便可。IRC的特色是經過服務器中繼與其餘鏈接到這一服務器上的用戶交流。註冊時須要發送的消息有三種，分別是：口令，暱稱和用戶信息。格式以下:USER 、PASS 、NICK 。註冊完成後，客戶端就使用JOIN信息來加入頻道，格式以下:JOIN 。

IRC服務器明文傳輸一般在6667端口監聽，也會使用6660—6669端口。SSL加密傳輸在6697端口。

（2）僵屍網絡是什麼？僵屍網絡一般用於幹什麼？

僵屍網絡是攻擊者出於惡意目的，傳播殭屍程序控制大量主機，並經過一對多的命令與控制信道所組成的網絡。

僵屍網絡，是互聯網上受到黑客集中控制的一羣計算機，一般被黑客用來發起大規模的網絡攻擊，如分佈式拒絕服務攻擊（DDoS）、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也均可被黑客隨意「取用」。

（3）蜜罐主機(IP:172.16.134.191)與哪些IRC服務器進行了通訊？

使用Wireshark打開botnet_pcap_file.dat，利用【ip.src == 172.16.134.191 && tcp.dstport == 6667】，由於IRC經過6667端口進行監聽。從結果中能夠找到五個IRC服務器，分別爲：
209.126.161.29
66.33.65.58
63.241.174.144
217.199.175.10
209.196.44.172

（4）在這段觀察期間，多少不一樣的主機訪問了以209.196.44.172爲服務器的僵屍網絡。

這一問實在是卡在了最初的起點，kali它爲何總連不上網，以前的幾種方法都試了此次無論用了。能我解決了網絡問題再戰！！

（5）哪些IP地址被用於攻擊蜜罐主機？

還好上一問沒有影響到下面的過程。進入蜜罐的流量都被認爲是攻擊，使用以下指令查找端口並輸出到1.txt中，結果能夠看出查找到148個被攻擊的端口。

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | grep -v 'reply' | cut -d '.' -f 10 | cut -d ':' -f 1 | sort | uniq | more >1.txt; wc -l 1.txt
/*cut -d是指定字段的分隔符；uniq命令用於檢查及刪除文本文件中重複出現的行列，通常與sort命令結合使用；grep搜索獲取暱稱輸出行；grep -v就是NOT指令，去除空行；wc計算行數。*/

使用以下指令查找全部的可能鏈接的主機的IP地址，將鏈接IP地址輸出到2.txt中，結果能夠看出有165個主機可能被用於攻擊蜜罐主機。awk -F就是指定分隔符，可指定一個或多個，print後面作字符串的拼接

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt
/*awk -F就是指定分隔符，可指定一個或多個，print後面作字符串的拼接*/

（六、7）攻擊者嘗試了哪些安全漏洞？哪些攻擊成功了？是如何成功的？

首先使用【snort -r botnet_pcap_file -c /etc/snort/snort.conf -K ascii】，發現大部分爲TCP包，還有一部分UDP包。

使用以下指令篩選蜜罐主機有響應的TCP端口，即SYN，ACK標誌爲1

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

結果能夠看到如下端口：135(rpc),139(netbiosssn),25(smtp),445(smb),4899(radmin),80(http)

同理篩選蜜罐主機有響應的UDP端口

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

結果能夠看到如下端口：137(netbios-ns)

接下來對端口依次進行分析：

UDP:137(netbios-ns)
137端口是在局域網中提供計算機的名字或IP地址查詢服務，通常安裝了NetBIOS協議後，該端口會自動處於開放狀態，所以訪問這個端口確定是NetBIOS查點。

25，135
利用【tcp.port135 || tcp.port25】篩選這兩個端口，發現這兩個端口只有鏈接，沒有數據交互，應該是隻對這兩個端口進行了掃描

80
利用【ip.dst == 172.16.134.191 && tcp.dstport==80】篩選鏈接蜜罐主機80端口的數據包，首先發現大量與24.197.194.106相關的包，而且能夠看到一條信息爲「GET /NULL.ida?AAAAAAAAA...」的包，經查詢是利用IIS緩衝區的IDA漏洞在攻擊IIS服務器。

而後是210.22.204.101訪問80端口，能夠看到一條信息爲「GET /NULL.ida?CCCCCCC...」的包，與前面相似，應該也是進行緩衝區溢出攻擊。

接着訪問80端口的是218.25.147.83，看到一條信息爲「GET /NULL.ida?NNNNN...」的包，但這個不是緩衝區溢出攻擊，經查找這是一個紅色代碼病毒。

最後是68.169.174.108和192.130.71.66訪問80端口，比較正常的訪問。

經過分析蜜罐主機80端口向外的數據包，發現響應均爲一個iis服務器的默認頁面，因此80端口的攻擊均失敗。