先要判断攻击有没有成功,是攻击成功的告警,还是攻击不成功但是真实的攻击,看规则的告警的名称,分析攻击源IP和目的IP,如果攻击源IP是内网的话,则可能为有关键特征的业务系统,被判为恶意攻击;内网可能沦陷,已被入侵;可能是设备使用盗版软件或者第三方软件中有木马或病毒;安全部门在做日常测试。分析响应包的状态码200 302 404/403,看数据包详情,请求包和响应包,通过对响应包的数据进行复制,生成HTML,用浏览器打开。
如果有一条告警流量你会怎么分析,请详细说明?
最新推荐文章于 2024-05-20 20:42:03 发布