当前位置:网站首页>HW初级流量监控,到底该怎么做
HW初级流量监控,到底该怎么做
2022-07-07 13:17:00 【世界尽头与你】
HW初级流量监控,到底该怎么做
1.初级监测任务
每天的流量告警检测以及初步的流量,可能有时候项目经理让升级设备,还有当日的日报(项目经理哪里会有专门的模板,不需要在网络上下载模板或者自己编辑)
整体流程:
一般就是监控组将监控到的恶意攻击流量上报到研判组(有专门的上报模板),研判组对上报上来的流量进行分析以后确定此流量是攻击流量以后,再转给处置组,处置组将此恶意ip进行封禁;如果是有攻击成功的事件,研判组需要同步到溯源反制组和应急响应组,溯源反制组和研判组的人员对该事件进行溯源,应急响应组的对该机器进行应急响应。
2.常见HW设备
1- 奇安信的天眼(流量分析和流量监控,并且可以用他的日志检索模块进行溯源。)
2- 奇安信的椒图
3- 绿盟的漏扫设备
4- 微步的蜜罐
5- 深信服的防火墙
6- 深信服的VPN
7- 奇安信的天擎(功能和界面类似于360安全卫士)
3.工作内容
项目开始,检查熟悉设备
一般的设备中控台都有设备的使用量信息,主要看下设备的:
- CPU使用率
- 内存使用率
- 数据吞吐率
- 空间存储率
如果发现占用率过高的现象,已经影响了平台正常运行,要及时上报项目经理哦!
日常流量分析
在威胁分析里可以看到攻击流量的具体信息,一般筛选当天的流量即可
攻击流量以Web攻击流量为主,主要看流量的请求包和响应包(PCAP)内容:
当存在大量流量包的时候,需要擅用设备的模糊搜索功能,进行过滤分析
请求头:
- url位置
- rerfer字段来源IP
- X-Forwarded-For(XFF)
- Cookie
- …
请求正文:
- 有没有恶意代码
- 有没有用户名或密码等的敏感信息
- …
响应包:
- 状态码
- 响应正文(可以复制成html在浏览器里查看)
4.干货:常见的漏洞流量特征
目录爆破
- 服务器日志出现大量404请求
- 出现大量非业务请求(如访问大量敏感目录)
sql注入
- 请求中有构造的明显的恶意sql语句或者敏感字符
- 请求体
User-Agent
中可能出现sqlmap标识 - 回显包存在sql查询结果(此刻就代表已经注入成功了)
文件上传
- 文件名是脚本文件,如恶意的php文件
- 看上传文件的
Content-type
是否遭到了修改 - 看上传内容是否包含恶意代码(一般都是经过加密的木马)
- 看回显状态是否为200,假如为200看下上传路径,对应服务器上找下文件进行云沙箱分析(不要傻傻在本地进行分析,一般的厂商都会有配套的云沙箱设备),要是恶意木马就GG了
XSS
攻防演习中,XSS攻击很不常见
- 请求包中是否有XSS语句
- 回显包中是否有XSS语句(关键)
命令执行
一般都是些曝出的RCE漏洞执行,更常见的是红队利用0day进行攻击,如果出现了0day攻击,设备肯定是无法识别攻击行为的,就需要防守人员根据自己的经验进行判断
- JAVA开发的网站,要注意请求数据包中是否有java反序列化的字符串格式(如
ROOAB,abecd
),没有的话看下是否有java敏感执行类的调用(如Runtime.java
),还要注意是否有RMI,LDAP
等这样的敏感字符出现 - 数据包有系统命令存在(如
whoami
) - 看响应包的状态是否为200,结合请求和响应来分析
Webshell
遇到这种流量特征并且判断没有误报的话,就可以写报告了GG了
常见的菜刀,冰蝎,蚁剑,哥斯拉流量特征图示:
菜刀
payload特征:
PHP: <?php @eval($_POST['caidao']);?>
ASP: <%eval request(“caidao”)%>
ASP.NET: <%@ Page Language=“Jscript”%><%eval(Request.Item[“caidao”],“unsafe”);%>
示例流量包:
蚂剑
payload特征:
Php中使用assert,eval执行,
asp使用eval
在jsp使用的是Java类加载(ClassLoader),同时会带有base64编码解码等字符特征
示例流量包:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)
开头。并且后面存在base64等字符
蚂加密后有一个明显的特征,即参数名大多以"
_0x....
"的形式
冰蝎
paylaod分析:
php在代码中同样会存在eval或assert等字符特征
在aps中会在for循环进行一段异或处理
在jsp中则利用java的反射,所以会存在ClassLoader,getClass().getClassLoader()等字符特征
冰蝎2.0流量特征:
第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥
请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2
建立连接后的cookie存在特征字符,所有请求 Cookie的格式都为: Cookie: PHPSESSID=; path=/;
冰蝎3.0流量特征:
请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept:text/html,application/xhtml+xml,application/xml;
q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9
哥斯拉*️
payload特征:
jsp会出现xc,pass字符和Java反射(ClassLoader,getClass().getClassLoader()),base64加解码等特征
php,asp则为普通的一句话木马
哥斯拉流量分析:
所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8
所有响应中Cache-Control: no-store, no-cache, must-revalidate,
同时在所有请求中Cookie中后面都存在;特征
目前来自哥斯拉的流量稍一混淆就可以绕过安全设备的检测,这很危险,一般采取的方式只能是落地进行查杀病毒
常见框架漏洞
主要看你对于框架的熟悉程度
边栏推荐
- 简述keepalived工作原理
- [follow Jiangke University STM32] stm32f103c8t6_ PWM controlled DC motor_ code
- CTFshow,信息搜集:web10
- 2. 堆排序『较难理解的排序』
- 拜拜了,大厂!今天我就要去厂里
- Niuke real problem programming - day16
- Ctfshow, information collection: web12
- Integer learning
- Shengteng experience officer Episode 5 notes I
- Classification of regression tests
猜你喜欢
随机推荐
Change win10 Screensaver
[follow Jiangke University STM32] stm32f103c8t6_ PWM controlled DC motor_ code
时空可变形卷积用于压缩视频质量增强(STDF)
asp.netNBA信息管理系统VS开发sqlserver数据库web结构c#编程计算机网页源码项目详细设计
PG basics -- Logical Structure Management (locking mechanism -- table lock)
[deep learning] semantic segmentation experiment: UNET network /msrc2 dataset
Cocoscreator operates spine for animation fusion
CTFshow,信息搜集:web14
【服务器数据恢复】戴尔某型号服务器raid故障的数据恢复案例
“百度杯”CTF比赛 2017 二月场,Web:include
什麼是數據泄露
【深度学习】图像超分实验:SRCNN/FSRCNN
CTFshow,信息搜集:web8
CTFshow,信息搜集:web1
Deformable convolutional dense network for enhancing compressed video quality
Ctfshow, information collection: web1
Apache multiple component vulnerability disclosure (cve-2022-32533/cve-2022-33980/cve-2021-37839)
众昂矿业:萤石继续引领新能源市场增长
【數據挖掘】視覺模式挖掘:Hog特征+餘弦相似度/k-means聚類
Concurrency Control & NoSQL and new database