在对服务器的日志进行分析时,发现某一时间段,网络中有大量包含"USER""PASS"负载的数据,该异常行为最可能是(弱口令扫描)。
网络攻击类型丰富,不同攻击在网络流量或系统日志中会呈现差异化特征,这是入侵检测中识别异常行为的关键依据。弱口令扫描属于暴力破解类攻击,攻击者通常借助字典枚举工具对目标的认证服务发起批量登录尝试,这类攻击的典型特征是流量或日志中频繁出现包含“USER”“PASS”等认证字段的负载,常见攻击对象包括FTP、Telnet、SMTP等需用户名密码验证的服务。与之区分的是,ICMP泛洪、TCP泛洪等拒绝服务攻击以耗尽目标系统资源为核心目的,流量多为大量无有效认证内容的请求,不会携带“USER”“PASS”类字段;端口扫描则属于信息收集类攻击,仅用于探测目标主机的开放端口与运行服务,流量中不会包含认证相关负载内容。掌握各类攻击的典型特征,能帮助安全人员快速从海量日志或流量中定位异常行为,提升网络安全防护的响应效率。
本题考察的是网络安全中的入侵检测与攻击类型识别。
A选项ICMP泛洪攻击:是一种拒绝服务(DoS)攻击,攻击者通过发送大量的 ICMP 请求(如 ping 包)使目标系统资源耗尽,但不会特征性地包含“USER”“PASS”这样的负载内容。
B选项端口扫描:属于信息收集阶段,攻击者探测目标主机开放的端口与服务,用于评估潜在的入侵路径,但不会发送认证类的数据,因此不符合“USER”“PASS”的特征。
C选项弱口令扫描:正确。该行为通常通过用户名和密码字典,对网络服务进行暴力尝试登录,会在网络中大量产生包含“USER”和“PASS”等字段的负载数据,尤其针对如 FTP、Telnet、SMTP 等协议。
D选项TCP泛洪攻击:如 SYN Flood,利用TCP握手的漏洞耗尽连接资源,属于拒绝服务攻击,也不会包含类似“USER”“PASS”的认证数据内容。
因此,正确答案是 C. 弱口令扫描。