近年来,由于HW人员短缺,面临HW迫切需要安全人员的市场竞争,许多安全厂商降低
了招聘要求,招募了大量安全工作经验不多的人员加入HW,由于缺乏相应的工作经验,面
对攻击队伍的频繁入侵,导致攻击源IP地址被误判、误封,进而对公司的业务造成严重影响
。针对攻击流的特点,小编做了一个详细的总结,本文适用于可以查看攻击数据流量的设备
,如:waf,ids,ips,超级天眼,睿眼以及其它全流量分析系统。
在阅读本文之后,您可以了解以下内容:
>普通报警攻击的特征识别。
>忽略低危险警告攻击事件警报。
>研判性报警攻击是否误报。
Tiffany报警攻击Pcap取证。
>确认成功报警攻击警告。
Webshell后门包括但不限于以下:请求行为分析包括但不限于以下:常规行为:SQL注入如
果只有where1=1,没有任何异常,或者有中文的、真实的字段,则可能会出现错误报告。
在交叉脚本攻击中,如只有js或css代码,没有明显的攻击特征行为,则可能出现误报。要确
定真正的攻击行为需要判断,是否攻击成功,主要是通过以下方法,但并不局限于:根据流
量payload信息判断攻击是否成功。比如网络攻击,如果响应代码为4XX,大多数都可以判
定为失败,但200不一定是成功的,还需要结合响应主体来判定。此外,如果使用目录遍历
读取/etc/passwd,并且响应包中包括这些特性,则可以判断攻击是否成功.根据攻击告警和
行为审计日志来判断攻击是否成功。比如,如果发生暴力破解报警,而又发现相关的登录成
功报警,则攻击成功。根据不同报警日志进行关联判断攻击是否成功。举例来说,当一个通
知会产生一个永恒之蓝漏洞利用,而另一个通知又发现一个漏洞利用了一个成功的反连行为
时,就表明该漏洞利用成功;或者产生一个redis未授权的写入ssh密钥的行为,并且随后的
行为登录ssh也基本上可以判断为攻击成功,但具体与否还需要登录服务器查看,毕竟ssh也
是加密传输的!
果只有where1=1,没有任何异常,或者有中文的、真实的字段,则可能会出现错误报告。
在交叉脚本攻击中,如只有js或css代码,没有明显的攻击特征行为,则可能出现误报。要确
定真正的攻击行为需要判断,是否攻击成功,主要是通过以下方法,但并不局限于:根据流
量payload信息判断攻击是否成功。比如网络攻击,如果响应代码为4XX,大多数都可以判
定为失败,但200不一定是成功的,还需要结合响应主体来判定。此外,如果使用目录遍历
读取/etc/passwd,并且响应包中包括这些特性,则可以判断攻击是否成功.根据攻击告警和
行为审计日志来判断攻击是否成功。比如,如果发生暴力破解报警,而又发现相关的登录成
功报警,则攻击成功。根据不同报警日志进行关联判断攻击是否成功。举例来说,当一个通
知会产生一个永恒之蓝漏洞利用,而另一个通知又发现一个漏洞利用了一个成功的反连行为
时,就表明该漏洞利用成功;或者产生一个redis未授权的写入ssh密钥的行为,并且随后的
行为登录ssh也基本上可以判断为攻击成功,但具体与否还需要登录服务器查看,毕竟ssh也
是加密传输的!