①发现攻击动作并阻断攻击
②通过分析数据包,确认攻击动作真实性,排除为负载和代理类设备,避免影响业务。
③通过分析数据包判断数据发起者是不是存在攻击行为还是业务出发,模拟触发场景,并且确认漏洞是否存在并给出针对性建议。
④如果确定是攻击行为:
定位到触发告警攻击动作的payload,分析攻击动作是什么,读取文件、打印输出内容、
写入文件和尝试下载文件、执行函数或命令等,然后分析告警响应体、网络行为是否有动
作预期的结果,如符合预期则攻击成功,给出针对性的处置以及漏洞修复建议如果是业务
触发,需分析漏洞点并提供利用细节给出针对性修复建议。
发现值守设备被攻击后分析思路
最新推荐文章于 2024-10-15 15:24:52 发布