鉴于近些年网络安全技术人员稀缺,应对渗透测试急缺安全防护技术人员的比赛中,许多 安全防
护供应商调低职位要求,招骋许多 安全防护工作经历较少的技术人员参加渗透测试之中,鉴于欠缺
相对应的工作经历,应对攻击队伍的经常黑客攻击,造成 漏判、错封攻击源网络ip,从而对公司
业务形成比较严重危害。笔者对于此事对攻击流特点开展了1个详尽的小结,这篇文章主要用于
可查询攻击数据网络的机器设备,如:waf、ids、ips、超级天眼、睿眼及其别的全流量统计系
统软件等。
>普遍报警攻击特点鉴别
>低危报警攻击事情忽略
>隐患排查报警攻击是不是乱报
>繁杂报警攻击Pcap调查取证
>认证报警攻击是不是取得成功
wiresharkpcap具体分析关键的便是了解基础的挑选,及其很重要的是跟踪流,强烈推荐是TCP
流或udp协议流,这种能开展改换,如果是CNAP流很有可能不方便看下面的好多个数据流分析。
post请求行为分析包括但不限于下列这种正常情况下情形:SQL注入假如仅有where1=1,其他
字段名无异常,或是有汉语、真正字段名,那样可能是乱报。跨站代码攻击中,如仅有原生js或
是html代码,无显著攻击特点情形,那样可能是乱报。对确定为真正攻击的情形须要开展隐患
排查,是不是攻击取得成功,主要是利用下列方法但不限于开展:根据数据流量payload数据判断攻
击取得成功是否。比如网站攻击,假如响应码为6XX,则大部分能够判断为不成功,可是为200
的未必便是取得成功,还须要融合响应行为主体开展判断。此外假如应用文件目录解析xml载入/
etc/passwd,且响应包里边有这种特点可判断为攻击取得成功.根据攻击报警和情形审计系统日志
判断攻击取得成功是否。比如形成了暴力破解密码报警,另外看到有关的登录成功报警,则攻
击取得成功。根据不一样报警系统日志的联系判断攻击取得成功是否。比如形成了比特币病毒
漏洞检测的报警,另外看到漏洞检测取得成功的反连情形的报警,则表明比特币病毒漏洞检测
取得成功;或是形成了redis未认证写ssh密钥的情形,且后边有登陆ssh的情形也基础可判断为攻
击取得成功,可是详细是否还须要登陆服务器进行查询,终究ssh也是数据加密的!在检测环节中会
碰到许多 编号,针对特点不可以了如指掌,那样须要了解相匹配的编号或加密算法并开展改换和
解码数据,普遍编号包括但不限于下列这种.
流或udp协议流,这种能开展改换,如果是CNAP流很有可能不方便看下面的好多个数据流分析。
post请求行为分析包括但不限于下列这种正常情况下情形:SQL注入假如仅有where1=1,其他
字段名无异常,或是有汉语、真正字段名,那样可能是乱报。跨站代码攻击中,如仅有原生js或
是html代码,无显著攻击特点情形,那样可能是乱报。对确定为真正攻击的情形须要开展隐患
排查,是不是攻击取得成功,主要是利用下列方法但不限于开展:根据数据流量payload数据判断攻
击取得成功是否。比如网站攻击,假如响应码为6XX,则大部分能够判断为不成功,可是为200
的未必便是取得成功,还须要融合响应行为主体开展判断。此外假如应用文件目录解析xml载入/
etc/passwd,且响应包里边有这种特点可判断为攻击取得成功.根据攻击报警和情形审计系统日志
判断攻击取得成功是否。比如形成了暴力破解密码报警,另外看到有关的登录成功报警,则攻
击取得成功。根据不一样报警系统日志的联系判断攻击取得成功是否。比如形成了比特币病毒
漏洞检测的报警,另外看到漏洞检测取得成功的反连情形的报警,则表明比特币病毒漏洞检测
取得成功;或是形成了redis未认证写ssh密钥的情形,且后边有登陆ssh的情形也基础可判断为攻
击取得成功,可是详细是否还须要登陆服务器进行查询,终究ssh也是数据加密的!在检测环节中会
碰到许多 编号,针对特点不可以了如指掌,那样须要了解相匹配的编号或加密算法并开展改换和
解码数据,普遍编号包括但不限于下列这种.
