单包连接请求速度极慢

Question

我在trapx.com上读了一篇关于他们如何进行威胁分析的博客文章，并发表了如下声明：“高级攻击者不再执行嘈杂的网络扫描，如果他们进行网络扫描，他们就会以极慢的速度在著名的端口上使用单个数据包连接请求来避免检测。”

如何以极慢的速度执行单个数据包连接请求？是否有可能使用nmap来完成这个任务，如果是这样的话，该如何完成呢？

Answer 1

它简单地意味着做一些事情，比如尝试一个连接尝试到一个端口，并在这两者之间花费大量的时间。

但是“慢”意味着什么，以及有多少时间还没有定义。1/小时?1/天？这取决于一个人想要成为什么样的人，以及他们的目标是什么。

nmap有许多配置选项可用于此操作(请参阅手册：https://nmap.org/book/man-performance.html)

例如：T0每次向一个端口发送一个连接尝试，间隔时间为5分钟。有许多更精细的配置选项，您可以在其中准确地定义您想要做的事情。

我质疑这样一种说法，即高噪音网络扫描不是由高级黑客执行的。这要视情况而定。没有理由在公共知识产权上慢慢来。内部IP一旦进入并重新枚举，就需要这样做，但这并不是高级攻击者才会做的事情。这只是对现实的一种反应，即会发现嘈杂的扫描，攻击者也会发现。通常，攻击者会监听通信量或执行其他枚举，以了解哪些服务器可用及其服务。