【网络安全应急响应】实战思路经验分享

已于 2024-01-27 19:48:00 修改
阅读量318 收藏 1
点赞数
文章标签: web安全 网络 运维 系统安全 网安
于 2023-06-06 15:14:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wufjsjjx/article/details/131068369
版权

前言

以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次非常有意思的排查

确认情况,搜集情报

看了一下聊天记录,客户的网络通过 EOC 设备管理终端,大概一两千台。然后在每天凌晨定时有几百台机器脱管,重启后恢复,地址不变。怀疑遭到了攻击,包体中有大量的 arp 包,我同事怀疑是 arp 欺骗攻击。

一共四个流量包,体积还不小。问了一下从哪里抓的,客户答曰:某个端口上抓的。

确认到手情报

打开四个包看看什么情况,好家伙全黄,都是 arp 包。

还夹带着一些其他包,LLDP、DHCPv4,IGMPv3,ssdp,ICMP v6

这里发现了一些很奇怪的报文,分别是 dhcp 和 arp 的。这俩的结构是有一些问题的。

协议分析

这次排查还是比较困难的,因为客户只给了这点东西,而且我提出为了防止扩散危害暂时切断那片脱管主机的网络也不被允许。那接下来只能分析报文结构是否有问题了。

提取一下关键词:抓包从某一个端口,大量的 arp 包,异常的 dhcp 包,netbios 协议,ssdp 包中的字段。

网络拓扑分析

问客户要了一份拓扑图,拿来分析,客户给的很简单手画,为了保密我更简化了一点。

在拓扑中,可以知道,其实网络并不复杂,攻击者要不直接拿下核心交换机或者域控。又因为这张网络很庞大,主机上千台,运维不可能不写嗅探功能。

DHCP 嗅探功能可以有效阻止 dhcp offer 报文,以达到阻止伪造 DHCP 服务器对终端提供虚假服务的目的。一旦开启需要手动指定信任端口。

其实,我猜客户只是想表达他们怎么管理下面的主机群。

异常字段分析

1.arp 报文

先来看一下正常 arp 报文的结构:

ARP 报文的结构简单,也只有请求和回应两种包。

ARP 欺骗的原理:攻击者先嗅探 ARP 包,然后盗取某一个主机的 mac 地址,将数据引流到攻击者的主机上。

再来看包中的 arp 报文:

主要有三个设备再发 H 设备、J 设备、TP 设备。

出现异常的只有 J 设备上的 ARP 报文,那很简单,我们用小鲨鱼的对话过滤,过滤出所有关于 J 设备 ARP 报文。

异常就在 Trailer 这个字段上,因为正常的 ARP 报文中是用 Padding 字段代替的全 0 填充。

trailer 字段用于字节超额时,承载超额字节,出现非零填充现象。

但是,在经过我长时间筛选下,都没看到有明显的攻击痕迹:都是一些无意义的字节。也不像 arp 欺骗攻击,以为没有任何入口被突破。

2.dhcp 报文

流量包里出现问题的报文是 dhcp discover 报文,该报文用于请求地址,因为它不知道 dhcp sever 的地址所以用全 0 来请求。

这里提示出现一瞬间的 little endian 编码,这种情况就是高低电位紊乱出现的。

其实到这里,我已经和同事说,这 7 成是网络问题,至于是什么网络问题我一时间没办法说出来。接下来分析我不确定的 3 成在哪。

3. 其他协议的报文

这也是后来,我打算写报告了,然后客户 1 点半又来了几个包,是重启恢复后短时间抓到的包。我又咕噜咕噜爬起来分析了。

来看看其他发现吧,这些发现都被客户弹回去了,确定了没事的。

在 SSDP 报文中,发现了似乎与外部有连接的字段:

然后又在其他报文中发现主机名和这台是域控,辣是把我吓了,域控被 k 掉了???

客户:那是用来抓包的机器,没事。

结论

这其实不是遭受网络攻击的问题,上面那是我整理了思绪写出来的,应急的时候我完全是以网安的思想去思考,其实换个网工的角度,答案就很明显了。

首先来回顾一下拓扑图:

经典的 OLT 架构网络,下面拖 ONU 设备进行管理。ONU 设备是光网络单元设备,一般把装有包括光接收机、上行光发射机、多个桥接放大器网络监控的设备叫做光节点。PON 使用单光纤连接到 OLT,然后 OLT 连接到 ONU。

然后再看 DHCP 报文,其中短暂出现了 little endian 编码;同时在 ARP 报文中,出现无意义的额外字节填充。

结论只有一个了 ONU 设备出了问题,光纤或者光模块出现了损伤,导致数据传输失败。在上面的分析来看,dhcp discover 包是没有被回应的,arp 包构造也是完整的。同时出现多次 igmp 加组离组的申请报文没有得到回应。得到的结论是:因为光信号传输出现问题,导致下面某一片主机脱管,并非网络攻击。

​最后

为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇扫码问题,可以在评论区留言领取哦)~

😝有需要的小伙伴,可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

因篇幅有限,仅展示部分资料

2️⃣视频配套资料&国内外网安书籍、文档

① 文档和书籍资料

② 黑客技术

因篇幅有限,仅展示部分资料

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

3️⃣网络安全源码合集+工具包

4️⃣网络安全面试题

5️⃣汇总

所有资料 ⚡️ ,朋友们如果有需要全套 《网络安全入门+进阶学习资源包》,扫码获取~

👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享(安全链接,放心点击)👈

瓦罗兰特顶级C位
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全应急响应
赤赤三的博客
03-30 1451
应急响应(是有一整套流程的): 原理: 一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施 阶段: 准备->启动->抑制->根除->恢复->跟进 准备应急工具,相应的应急文档、合同、保密协议,开会沟通 启动:讨论这个是怎么进来的 抑制:切断受感染主机,拔网线,网络隔离 根除:查找病毒木马,分析日志,溯源,打补丁 恢复:业务恢复 跟进:监控,看是否还会进来 详细流程: 准备阶段: ..
2023安天网络安全实战攻防演练专题集.pdf
07-23
网络安全实战攻防演练是指通过发现系统漏洞、检验防护策略、锻炼应急能力和构筑防御体系来提高网络安全防护水平的活动。该活动的目的在于检测网络安全责任落实情况、检验防守单位的安全防护能力,并系统提升安全防护...
网络安全应急响应实践
IT之一小佬的博客
05-04 2354
认识应急响应 网络安全的特性: 整体性--业务与利益相关 动态性--技术不断发展 开放性--没有物理边界 相对性--没有绝对的安全 网络应急响应: 定义1:在对网络安全态势、组织的网络系统运行情况和面临安全威胁有清楚的认识下,在管理、技术和人员方面进行计划和准备馆当网络安全事件突发时,能够有序应对并妥善处理,降低组织的损失,并能够改进网络安全突发事件的策略和计划。 定义2:应急响应网络安全事件所做的具体准备,如数据、工具、人力和计划方面,以及事件发生时的处置和事件后的针对分析。 工程师..
网络安全-应急响应
qq_35358965的博客
04-20 1824
应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,尽量减少安全事件对组织的影响和损失。
2019北京网络安全大会演讲PPT合集.zip
08-23
首届“奇安信杯”中国医院网络安全攻防攻防比赛经验分享; 安全运营论坛 安全度量:构建企业安全评价体系之路; 甲方视角之外的安全运营思路; 结果导向的安全运营; 小团队如何通过安全运营在蓝军的炮火中生存; 真正...
实战出发的网络安全等级保护2.0实践-亚信安全陆光明.pdf
05-17
### 从实战出发的网络安全等级保护2.0实践 #### 一、网络安全等级保护2.0标准的理解 《从实战出发的网络安全等级保护2.0实践》由亚信安全COO陆光明撰写,该文档主要介绍了对网络安全等级保护2.0(简称“等保2.0”...
网络安全运营资料合集.zip
05-22
安全运营中心(SOC)实施经验分享完整版 安全智能驱动的新一代SOC建设 场景化政务大数据安全运营实践 从RSAC看安全运营的能力建设 滴滴安全运营实践 高级威胁分析在安全运营环节的运用 工业安全运营中心产品介绍 ...
【推荐】最新网络安全运营方案和实践合集(共80多份).zip
07-26
漫谈JSRC安全应急响应; 美团基础安全运营实践; 面向电信行业的数据安全监管运营实践; 面向实战运营的安全人才培养; 企业安全运营的一些思考; 企业上云后的安全建设思考; 浅谈互联网银行数据安全建设; 如何...
网络安全应急响应(文末附应急工具)
mh007的博客
08-07 4147
网络安全应急响应是在特定网络和系统面临或已经遭突然攻 应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。.........
网络安全应急响应(归纳)
热门推荐
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
网络安全应急响应及其发展方向
weixin_30340775的博客
05-04 476
计算机信息系统和网络已经成为社会重要的基础设施,而网络安全始终是笼罩在Internet天空的一片乌云,对社会的威胁也与日俱增。自1988年莫里斯蠕虫事件以来,网络安全事件逐年上升,所造成的损失越来越大。自从CERT/CC成立以来,世界各地成立了各种类型的应急响应组,在我国应急响应也得到了各界的广泛关注。然而究竟什么是应急响应?它涉及到那些关键技术? 本文首先从三个方面讨论了应急响应的概念,...
网络安全应急响应-电子数据取证技术
Bnessy
03-27 5538
电子数据取证技术 1. 易失性信息的提取 易失性是指数据保存的环境如果不能满足某种条件,就确定会丢失,例如保存在DRAM中的数据是易失的,因为只要DRAM的电源被切断,其中所保存的数据就会丢失。易失性数据一般通过命令行方式提取,可减少对其他易失性数据的破坏,也可以通过专业的设备或工具提取,如Sysinternals等工具。在Sysinternals工具下可以提取大量的信息: Bginfo:计算机软、硬件信息,包括CPU主频、网络信息、操作系统版本、IP地址、硬盘信息等。 PsloggedOn:本地登录的
企业网络安全事件应急响应方案
weixin_33720452的博客
02-23 1169
事实证明,事先制定一个行之有效的网络安全事件响应计划(在本文后续描述中简称事件响应计划),能够在出现实际的安全事件之后,帮助你及你的安全处理团队正确识别事件类型,及时保护日志等证据文件,并从中找出受到***的原因,在妥善修复后再将系统投入正常运行。有时,甚至还可以通过分析保存的日志文件,通过其中的任何有关***的蛛丝马迹找到具体的***者,并将他(她)绳之以法。 一、制...
网络安全应急响应和事后处理
最新发布
Spontaneous_0的博客
12-08 1127
当我们谈论网络安全时,我们会遇到各种各样的威胁,如病毒、蠕虫、木马、DDoS攻击等。面对这些威胁,我们需要进行应急响应,以最小化损失并保护我们的网络。接下来,我们将详细讲解应急响应的步骤,并提供一些实例来帮助你理解。
网络安全应急响应-基础技能
Bnessy
03-28 6455
网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络安全应急响应-电子数据取证技术 6. 网络安全应急响应-常用工具 7. 网络安全应急响应-基础技能 系统排查 一 、系统基本信息 1. Windows系统 系统信息工具 使用命令“msinfo32”,打开系统信息窗口,可以查看本地计算机硬件资源、组件和软件环境,其中包含正在运行的任务、服务、系统驱动程序、加
网络安全应急响应是什么?需要做什么?
oldboyedu1的博客
02-03 1314
应急响应需要相关人员来协调配合,设立小组、确定成员和组织结构,或聘请网络安全专家对突发安全事件的处置,最后一点,要依据企业所处的实际情况来决定,应考虑企业内部成员是否具备网络安全应急处置技能以及配合默契程度,如果发生重大事件,事情紧急且内部不能自行解决时,应聘请专家提供帮助,以免错过最佳的处理时机。网络安全应急响应需要做什么?等应急响应计划制定出来后,还应对其进行维护、更新,新的网络攻击一直在变化,应急响应计划也要有新的方法来应对,定期将新的响应方法添加到已有的事件响应计划中去。c.明确应急响应目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值