发现值守设备被攻击后分析思路

最新推荐文章于 2024-05-25 14:58:14 发布
最新推荐文章于 2024-05-25 14:58:14 发布
阅读量179 收藏 2
点赞数 1
分类专栏: 安全 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t102526/article/details/124878695
版权

①发现攻击动作并阻断攻击
②通过分析数据包,确认攻击动作真实性,排除为负载和代理类设备,避免影响业务。
③通过分析数据包判断数据发起者是不是存在攻击行为还是业务出发,模拟触发场景,并且确认漏洞是否存在并给出针对性建议。
④如果确定是攻击行为:
定位到触发告警攻击动作的payload,分析攻击动作是什么,读取文件、打印输出内容、
写入文件和尝试下载文件、执行函数或命令等,然后分析告警响应体、网络行为是否有动
作预期的结果,如符合预期则攻击成功,给出针对性的处置以及漏洞修复建议如果是业务
触发,需分析漏洞点并提供利用细节给出针对性修复建议。

tlucky1
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透测试面试题
千寻的博客
12-31 11万+
渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,...
一次网站攻击日志分析引发的思考
si1ence的博客
12-05 395
0x0 背景 前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个payload有点意思,就花点心思瞧瞧。 0x1 分析思路 漏洞的原理分析就不多再赘述比较好奇的是这个http://107.148.223.222/php/1/editor.txt网页访问后确认就是一个wesbehll后门。 该IP的归属地在米国加州,提示为ID...
TCP协议数据包及攻击分析
weixin_30675967的博客
10-06 1394
TCP/IP协议栈中一些报文的含义和作用 URG: Urget pointer is valid (紧急指针字段值有效) SYN: 表示建立连接 FIN: 表示关闭连接 ACK: 表示响应 PSH: 表示有 DATA数据传输 RST: 表示连接重置。 1、==++SYN++==:一段TCP对话开始时的数据包,收到的主机将以syn+ack回应,并进入半连接状态,将此链接存入队列,等待75...
基于多种流量检测引擎识别pcap数据包中的威胁
村中少年的专栏
04-17 1349
统一suricata,snort,zeek等多种引擎构建本地的数据包威胁识别环境,打造安全分析师的兵器
网站被入侵分析排查思路
深耕安全技术研究
05-08 1264
文章目录1.行为分析2.流量行为3.日志文件 1.行为分析 ​ 通过动态检测系统上进行执行的行为来进行判断是否为恶意行为,网站是否被入侵攻击。例如通过 hook 方案进行, hookjava/php 底层的命令执行函数,判断当前是否执行到命令执行函数,如果出现这个情况,就说明网站很有可能已经被入侵攻击。 2.流量行为 通过进行收集网站后台服务器的网络流量进行大数据分析,排查黑客攻击者发送的 payload 攻击特征,特别是 Webshell 特征进行检测和告警,用于预警信息手机及应急方案的处理。 3.日志文
HW:红队眼中的防守弱点与蓝队应对攻击的常用策略
weixin_42489549的博客
06-07 2649
HW 红队眼中的防守弱点 一、资产混乱、隔离策略不严格 除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。 除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。 此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,
抗ddos设备
cijuxian1996的博客
12-26 674
近期DDoS攻击事件频发 (2014年DDoS攻击事件分析),为了保障业务的顺利进行,大家在了解DDoS防御方案的同时,也需要考虑抗DDoS设备选型问题了。绿盟科技安全+技术刊物这次为大家介绍国内抗击DDoS攻击设备,绿...
无人值守安装IIS 6.0的原理分析
09-30
我们在安装系统的时候不选择安装IIS,等系统安装完成后手动来做,我们能够使用无人值守的方式自定义安装IIS
行业分类-设备装置-无人值守的自主购物平台.zip
09-10
行业分类-设备装置-无人值守的自主购物平台.zip
无人值守设备远程无线监测系统设计 (2007年)
05-26
阐述了以 GSM网络为平台,利用 SMS短消息技术实现对无人值守设备的远程无线监测 。同时,提出了 一种以 Internet网络为依托,实现 WEB网页数据发布的通信模式。介绍了系统组成、结构设计及其软硬件实现。 其设计方法...
煤矿井下变电所无人值守监控系统分析
04-18
伴随着我国煤矿开采行业的发展,对煤矿开采过程中的安全...通过对煤矿井下采区变电所无人值守监控系统在矿井中运用的具体案例分析,重点对该系统监测内容与实现功能进行了探讨,达到对我国煤矿产业的发展提供借鉴的目标。
Linux网络编程:网络基础
weixin_73234157的博客
05-20 917
当我们形成计算机网络后,小明要给他的暗恋对象小红发一句“我喜欢你”,结果发给了小芳……,在计算机网络中会出现许许多多的主机,当我们进行网络通信时,我们要通过协议来找到指定的接收方。同理在单台主机中,数据从键盘中读入再转载到当前网卡也是需要协议的。简单来说:协议就是一种约定当计算机在读取数据时,发现数据中存在向网卡输送的标志(协议)时,就往网卡输送。当网卡读取到输送给小红,网卡就不会发送给小芳。
计算机网络 1
zengkui198513的博客
05-15 651
上面的每一个问题是每一层都必须面对的也都必须要解决的。每一层而且必须要覆盖上面的信息!
用docker命令行操作远程的Dockerd daemon服务
zhang197093的博客
05-15 702
本地安装Dockerd服务太耗本机磁盘空间了,共用已有的Dockerd服务能够节省一部分空间。
嵌入式学习
qq_46068832的博客
05-19 405
【代码】嵌入式学习。
计算机网络安全控制技术
最新发布
heikewhite的博客
05-25 233
防火墙技术是近年来维护网安全最重要的手段,但是防火墙不是万能的,需要配合其他安全措施来协同。目前加密技术主要有两大类:对称加密和非对称加密。核心是识别网络者是否是属于系统的合法用户。入侵行为主要是指对系统资源的非授权使用。计算机病毒的数目和危害性都在飞速发展。控制不同的用户对信息资源的访问权限。漏洞检测和安全风险评估技术。6.网络安全漏洞扫描技术。
MQTT 异常断开(一)
m0_50668851的博客
05-21 458
MQTT异分析问题总结 前提:MQTT是基于TCP层再次封装,MQTT是不关心TCP层的实现与传输,但是如果TCP链路出现异常(丢失TCP ACK,网络延时TCP ACK等)一定会导致MQTT断开连接。 MQTT代理服务器存在如下问题: a.代理服务器,对于连接时没有及时处理收到模块关于TCP层的 TCP ACK(Seq确认包),出现重传MQTT Connect Ack。模块内部MQTT的处理逻辑,NQTT收到Connect Ack之后,模块已经准备就绪,回码OK, 但是客户......
20212416 2023-2024-2 《网络与系统攻防技术》实验七实验报告
m0_63943694的博客
05-22 839
在靶机(实验中直接用Windows本机的)用浏览器访问kali的IP,可以看到是和学院邮箱一模一样的网页。输入kali虚拟机IP以及目标网站URL进行克隆,这里使用学校邮箱登录网站。结合应用两种技术,用DNS spoof引导特定访问到冒名网站。输入用户名和密码,发现在kali虚拟机中可以捕获到信息。双击激活dns_spood插件,启用DNS欺骗。简单应用SET工具建立冒名网站。选择 1)社会工程学攻击。启动Apache2服务。选择 2)网站攻击向量。选择 3)口令截取方式。
delphi 无人值守
07-10
开发者可以使用Delphi提供的类库和函数来实现自动化任务,例如使用文件操作函数进行数据备份,使用数据库访问组件读取数据并生成报表,使用网络通信组件监控远程设备等。 使用Delphi实现无人值守任务的好处是可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值