读书笔记-6 如何发现植入后门的内网主机
1 发现告警日志以CIFS(文件共享居多),可疑IP通过netbios收集对端主机的操作系统版本信息,探测IPC$,ADMIN$,攻击者通常会通过这些默认共享,发起一些如账号暴力破解等行为
特点:捕获中招主机与国外服务器的通讯行为,捕获端口139中存在访问主机的系统默认共享IPS$的流量,发现程序命名方式类似
主机被攻击后再被植入后门,用户很难察觉,仅靠防火墙,IPS很难发现,要全流量的回溯行为才能发现。
读书笔记-7 如何找出伪造数据的内网主机
1 内网主机一旦被攻击控制,则可以伪造数据进行攻击,扰乱监控方向,如只通过安全日志进行分析,很难定位到问题主机,对于网页访问速度慢或断断续续无法访问情况,抓包发现同步包50万个,流量200M,但没TCP确认包,会话行为都一样,数据包同步位SYN置1,syn包是建立连接时的握手协议,不应存在任何应用层数据,但发现该包中还有512字节HTTP数据,并且数据内容都为0,该包为明显的伪造数据包,因数据包被伪造成互联网地址,所以会通过互联网口出去,超过带宽所以造成网络缓慢。
读书笔记-8 如何发现利用DNS放大行为的攻击行为
被控主机伪装成被攻击主机,一定时间内连续向多个允许DNS递归的服务器发送DNS请求,迫使其应答,被放大几倍的回复再发向被攻击主机,形成流量攻击。
建议
1 扩大带宽 2 DNS服务器关闭递归查询 3 上报ISP服务商
读书笔记-9 查找UDP攻击行为
1 问题描述
总部核心CPU高,分部无法ping通总部,总部上网慢。
2 分析
捉获某ip大包发送接收比很大,达到200多,并且源目的主机端口都一样,并且发送UDP包。
读书笔记-10 如何找出ARP攻击
1 问题描述
网络时断时续,DHCP要重新获取才能恢复,很快又中断
2 ping网关发现mac为0,查看科来设备ip的冲突信息,查找对应网关的两个mac,找出另个mac的ip