上官雨寶 的所有回復(713)
排序:
排序:
評論于 1周前,獲得 0 個贊
評論于 5個月前,獲得 0 個贊
對網站進行滲透測試的方法如下:
信息收集:獲取域名的whois信息,獲取注冊者郵箱姓名電話等。查詢服務器旁站以及子域名站點,因為主站一般比較難,所以先看看旁站有沒有通用性的cms或者其他漏洞。查看服務器操作系統版本,web中間件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。查看IP,進行IP地址端口掃描,對響應的端口進行漏洞探測,比如 rsync,心臟出血,mysql,ftp,ssh弱口令等。掃描網站目錄結構,看看是否可以遍歷目錄,或者敏感文件泄漏,比如php探針。google hack 進一步探測網站的信息,后臺,敏感文件
漏洞掃描:開始檢測漏洞,如XSS,XSRF,sql注入,代碼執行,命令執行,越權訪問,目錄讀取,任意文件讀取,下載,文件包含,遠程命令執行,弱口令,上傳,編輯器漏洞,暴力破解等。
漏洞利用:利用以上的方式拿到webshell,或者其他權限。
權限提升:提權服務器,比如windows下mysql的udf提權,serv-u提權,windows低版本的漏洞,如iis6,pr,巴西烤肉,linux藏牛漏洞,linux內核版本漏洞提權,linux下的mysql system提權以及oracle低權限提權
總結報告及修復方案:如果是get型號、直接、sqlmap -u “注入點網址”;如果是post型注入點、可以sqlmap -u “注入點網址” –data=”post的參數”;如果是cookie、X-Forwarded-For等、可以訪問的時候、用burpsuite抓包、注入處用*號替換、放到文件里、然后sqlmap -r “文件地址”、nmap、掃描的幾種方式。
評論于 1年前,獲得 0 個贊
網絡安全審計產品是有關網絡通信活動的審計系統。產品的基本原理是通過網絡流量信息采集及數據包深度內容分析,提供網絡通信及網絡應用的活動信息記錄。網絡安全審計常見的功能主要包括:
網絡流量采集
獲取網上通信流量信息,按照協議類型及采集規則保存流量數據。
網絡流量數據挖掘分析
對采集到的網絡流量數據進行挖掘,提取網絡流量信息,形成網絡審計記錄,主要包括如下內容:
- 郵件收發協議 (SMTP POP3 協議)審計
從郵件網絡流量數據提取信息,記錄收發郵件的時間、地址、主題、附件名、收發人等信息,并能夠回放所收發的郵件內容。
- 網頁瀏覽 (HTTP 協議)審計
從 Web 網絡流星數據提取信息,記錄用戶訪問網頁的時間、地址、域名等信息,并能夠回放所瀏覽的網頁內容。
- 文件共享 (NetBios 協議)審計
從文件共享網絡流量數據提取信息,記錄網絡用戶對網絡資源中的文件共享操作。
- 文件傳輸 (FTP 協議)審計
從 FTP 網絡流量數據提取信息,記錄用戶對 FTP 服務器的遠程登錄時間、讀、寫、添加、修改以及刪除等操作,并可以對操作過程進行完整回放。
- 遠程訪問 (Telnet 協議)審計
從 FTP 網絡流量數據提取信息,記錄用戶對 Telnet 服務器的遠程登錄時間、各種操作命令,并可以對操作過程進行完整回放。
- DNS 審計
從 DNS 網絡流量數據提取信息,記錄用戶 DNS 服務請求信息,并可以對操作過程進行完整回放。
網絡安全審計產品的性能指標主要有支待網絡帶寬大小、協議識別種類、原始數據包查詢響應時間等。
國內安全廠商的網絡安全審計相關產品主要有綠盟上網行為管理系統、科來網絡全流量安全分析系統 (TSA) 、天融信網絡流量分析系統等。
評論于 10個月前,獲得 0 個贊
安全的網絡系統方案的設計原則有以下這些:
保密性原則:網絡系統的技術方案、實施過程和結果都應嚴格保密,在未經授權的情況下不應泄露給任何單位和個人,不應利用此數據進行任何侵害客戶權益的事情。
標準性原則:網絡系統設計和實施均應依據國內或國際的相關標準進行;根據用戶的保護要求,或者等級保護或分級保護基本要求,按分級安全域進行安全設計和安全建設。
規范性原則:系統設計、實施的過程和文檔,都應具有很好的規范性,這樣便于項目的跟蹤、控制、運維、升級等。
可控性原則:系統所使用的設備、工具、方法和過程都應在可控制的范圍之內,保證系統的可控性。
整體性原則:系統的范圍和內容應完整全面,避免遺漏,造成未來的安全隱患。
最小影響原則:系統的安全設備應盡可能不影響信息系統的正常運行,應不會對現有業務造成顯著影響。
體系化原則:在網絡系統的體系設計、建設中,應充分考慮各個層面的安全風險,構建完整的立體安全防護體系。
先進性原則:為滿足后續不斷增長的業務需求,對安全產品、安全技術都應充分考慮前瞻性要求,要采用先進的、成熟的網絡安全技術和安全產品及先進的管理方法。
堅持獨立自主原則:要吸收和引進國內外的先進技術,也要始終堅持獨立自主、不斷創新,夯實“穩”的基礎,積蓄“進”的力量。
評論于 4個月前,獲得 0 個贊
電路交換技術的特點:
在數據傳送開始之前必須先設置一條專用的通路,采用面向連接的方式。
一旦電路建立,用戶就可以固定的速率傳輸數據,中間節點不對數據進行其他緩沖和處理,傳輸實時性好,透明性好。數據傳輸可靠、迅速,數據不會丟失且保持原來的順序。這種傳輸方式適用于系統間要求高質量的大量數據傳輸的情況,常用于電話通信系統中。目前的公共電話網(PSTN)和移動網(包括GSM網和CDMA網)采用的都是電路交換技術。
在電路釋放之前,該通路由一對用戶完全占用,即使沒有數據傳輸也要占用電路,因此線路利用率低。
電路建立延遲較大,對于突發式的通信,電路交換效率不高。
電路交換既適用于傳輸模擬信號,也適用于傳輸數字信號。
評論于 1個月前,獲得 0 個贊
網絡劃分為以下安全保護等級:
自主保護級:(無需備案,對測評周期無要求)此類信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成一般損害,不損害國家安全、社會秩序和公共利益。
指導保護級:(公安部門備案,建議兩年測評一次)此類信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成嚴重損害。會對社會秩序、公共利益造成一般損害,不損害國家安全。
監督保護級:(公安部門備案,要求每年測評一次)此類信息系統受到破壞后,會對國家安全、社會秩序造成損害,對公共利益造成嚴重損害,對公民、法人和其他組織的合法權益造成特別嚴重的損害。
強制保護級:(公安部門備案,要求半年一次)此類信息系統受到破壞后,會對國家安全造成嚴重損害,對社會秩序、公共利益造成特別嚴重損害。
專控保護級:(公安部門備案,依據特殊安全需求進行)此類信息系統受到破壞后會對國家安全造成特別嚴重損害。
評論于 1年前,獲得 0 個贊
防火墻對數據的處理包括以下三種:
允許數據通過:允許數據通過防火墻,說明數據安全沒有任何問題,防火墻不會做出任何回復或者行為;
拒絕數據通過:防火墻拒絕數據通過自身,并向發送這回復一條消息,提示發送者該數據以被拒絕;
將數據丟棄:防火墻將這些數據丟棄,不對這些數據進行任何處理,也不會向發送者發送人提示信息。
評論于 1年前,獲得 0 個贊
信息安全評估的意義:
風險評估是分析確定風險的過程
任何系統的安全性都可以通過風險的大小來衡量。科學分析系統的安全風險,綜合平衡風險和代價的過程就是風險評估。
信息安全風險評估是信息安全建設的起點和基礎
信息安全風險評估是風險評估理論和方法在信息系統中的運用,是科學分析理解信息和信息系統在機密性、完整性、可用性等方面所面臨的風險,并在風險的預防、風險的控制、風險的轉移、風險的補償、風險的分散等之間作出決策的過程。
所有信息安全建設都應該是基于信息安全風險評估,只有在正確地、全面地理解風險后,才能在控制風險、減少風險、轉移風險之間作出正確的判斷,決定調動多少資源、以什么的代價、采取什么樣的應對措施去化解、控制風險。
信息安全風險評估是需求主導和突出重點原則的具體體現
如果說信息安全建設必須從實際出發,堅持需求主導、突出重點,則風險評估(需求分析)就是這一原則在實際工作中的重要體現。從理論上講風險總是客觀存在的。安全是安全風險與安全建設管理代價的綜合平衡。
不計成本、片面地追求絕對安全、試圖消滅風險或完全避免風險是不現實的,也不是需求主導原則所要求的。堅持從實際出發,堅持需求主導、突出重點,就必須科學地評估風險,有效控制風險。
評論于 1年前,獲得 0 個贊
以下是幾款適合搭建滲透測試環境的操作系統可以自行選擇:
Kali Linux:無需贅言,kali Linux發行版是目前最流行的安全操作系統,基于Debian的操作系統附帶了600多個預安裝的測試工具。這些多功能工具定期更新,可用于不同平臺,如ARM和VMware。作為頂級黑客操作系統提供了一個實時引導功能,為漏洞檢測提供了一個完美的環境。
Parrot Security OS:基于Debian的Parrot安全操作系統是由Frozenbox團隊開發的。它專為白帽子測試、計算機取證、加密等而設計。Parrot安全操作系統是一個高效的輕量級操作系統。擁有強大的社區支持,它是Frozenbox操作系統和Kali Linux的混合體,操作系統使用Kali repos更新其工具,但它有自己的專用repo來存儲自定義數據包。它配備了MATE桌面環境,界面是從著名的Gnome 2派生的。
BackBox:BackBox Linux是一個基于Ubuntu的操作系統,專注于安全評估和滲透測試。BackBox Linux提供了廣泛的安全分析工具,可以幫助進行Web應用程序分析,網絡分析等。這個快速,易于使用的Linux發行版提供了一個完整的桌面環境。在這個黑客操作系統中的黑客工具的軟件,會定期更新最穩定的版本。
Samurai Web測試框架:Samurai Web測試框架基本上是一個動態的Linux環境,預先配置為一個網絡測試平臺。該框架包含多個免費和開源的黑客工具,用于檢測網站中的漏洞。它通常被稱為Web滲透測試的最佳操作系統。
Pentoo Linux:基于Gentoo Linux,Pentoo是一個測試操作系統,支持32和64位,可安裝Live CD。你也可以在現有的Gentoo Linux安裝之上使用Pentoo。這種基于XFCE的發行版帶有持久性支持,允許在USB保存運行之前所做的所有更改。它附帶了各種各樣的工具,如Exploit,Cracker,數據庫,掃描儀等。Gentoo衍生繼承Gentoo功能集,帶來額外的控制和配置。
DEFT Linux:開源Linux分發版DEFT代表數字證據和取證工具包。它基于Ubuntu并圍繞DART(數字高級響應工具包)軟件構建。它附帶許多流行的工具和文檔,可以由白帽子黑客,滲透測試人員,IT安全專家和其他人使用。
Caine:Caine是一個基于Ubuntu的安全集中發行版,可以作為活動磁盤使用。可替代計算機輔助調查環境,也可以在安裝后從硬盤運行。這個Linux發行版提供了廣泛的工具來幫助你進行系統取證。Caine有大量的數據庫,內存,取證和網絡分析應用程序。還具有常見的應用程序,如Web瀏覽器,電子郵件客戶端,文檔編輯器等。
網絡安全工具包(NST):NST是一個基于Fedora的Linux發行版,可在32和64位平臺上運行。這個可啟動的Live CD是為了讓你訪問最好的開源網絡安全應用程序,以便進行測試。這個易于使用的黑客發行版很容易將x86系統轉換為肉機,這有助于檢測,網絡流量嗅探,網絡數據包生成,網絡/主機掃描等。
BlackArch Linux:BlackArch Linux可用作安全研究人員和白帽子的完整Linux發行版。它源自Arch Linux,還可以在其上安裝BlackArch Linux組件,有超過1400個工具。
Bugtraq:在Debian,Ubuntu和OpenSuSe中可用,Bugtraq一起專用于計算機安全的電子郵件列表而聞名。所涉及的問題包括漏洞討論,與安全相關的公告,開發方法等。Bugtraq團隊由經驗豐富的黑客和開發人員組成,為白帽子測試者提供卓越的服務。Bugtraq提供了大量的測試工具,包括移動取證工具,惡意軟件測試工具和其他由Bugtraq-Community開發的軟件。
ArchStrike Linux:ArchStrike是一個很強大的Linux發行版。它是滲透測試和安全層上的流行的Arch Strike Linux發行版。它嚴格遵循Arch Linux哲學。應該注意,與其他基于Linux的發行版不同,ArchStrike不是一個獨立的Linux發行版。相反,它是一個Arch Linux存儲庫,用于擁有大量測試工具的安全專業人員。
Fedora Security Spin:Fedora Security Spin作為一個安全的測試環境,用于安全審計,系統恢復和教學目的。它由安全測試人員和開發人員的社區維護。由受歡迎的輕量級Xfce桌面環境提供支持,Fedora Security Spin配備了你需要的所有重要安全工具。它有防火墻,網絡分析器,密碼破解器,防御,取證,密碼工具等。這個Linux發行版中的一些特色應用程序,如Etherape,Ettercap,Medusa,Nmap, Scap-workbench,Skipfish,Sqlninja,Wireshark,和Yersinia.
評論于 9個月前,獲得 0 個贊
物聯網安全態勢量化及可視化技術框架包括以下五部分:
安全事件格式化:各安全設備都分別收集和報告安全事件,且收集和報告的方式與格式各不相同,于是產生了大量的日志數據,而對安全事件的分析需要在統一的基礎上完成,因此需要對各安全設備產生的事件進行格式標準化。一旦所有的安全事件被會聚在同一個數據庫中,就可以對網絡上發生的事情有一個較全面的了解,進而可以探測更復雜的攻擊。因此需制定安全事件的統一格式。統一格式既考慮了通用性,又考慮了簡單實用。
安全事件過濾、歸并及排序:一個安全事件有可能同時觸動多個安全單元,同時產生多個安全事件報警信息,造成同一事件信息“泛濫”,反而使關鍵的信息被淹沒。事件過濾、歸并是根據網絡拓撲和網絡主機的操作系統、運行服務等信息對各安全設備上報的虛假信息進行過濾和對相似或相同的安全事件進行合并,讓用戶能集中精力處理關鍵真實的安全事件。
安全事件關聯分析:關聯分析以后臺服務的方式運行。為了避免頻繁的數據庫查詢操作,提高處理速度,系統初始化時,將關聯知識庫全部加載到內存中,并初始化存放安全事件的列表,以后的關聯都在內存中完成。
安全態勢指標量化計算:安全態勢指標量化計算利用安全態勢指標量化公式對安全態勢指標體系中的指標進行量化計算,實質上是將各種管理和技術上的安全因素數字化表示。
可視化呈現:“可視化”通過對事件的處理和量化,再綜合其他的一些因素,實時展現當前風險,然后再以圖形化的方法將它表達出來,讓安全管理員在最短的時間感知到風險的程度。這里需要強調的是,風險感知的實時性而非傳統安全服務中所涉及的靜態風險評估高度的實時性正是安全事件管理技術所帶來的突破。
評論于 1年前,獲得 0 個贊
實現一個網絡入侵檢測系統方法步驟如下(以linux系統為例):
獲取libpcap和tcpdump
審計蹤跡是IDS的數據來源,而數據采集機制是實現IDS的基礎,否則,巧婦難為無米之炊,入侵檢測就無從談起。數據采集子系統位于IDS的最底層,其主要目的是從網絡環境中獲取事件,并向其他部分提供事件。目前比較流行的做法是:使用libpcap和tcpdump,將網卡置于“混雜”模式,捕獲某個網段上所有的數據流。libpcap是Unix或Linux從內核捕獲網絡數據包的必備工具,它是獨立于系統的API接口,為底層網絡監控提供了一個可移植的框架,可用于網絡統計收集、安全監控、網絡調試等應用。tcpdump是用于網絡監控的工具,可能是Unix上最著名的sniffer了,它的實現基于libpcap接口,通過應用布爾表達式打印數據包首部,具體執行過濾轉換、包獲取和包顯示等功能。tcpdump可以幫助我們描述系統的正常行為,并最終識別出那些不正常的行為,當然,它只是有益于收集關于某網段上的數據流(網絡流類型、連接等)信息,至于分析網絡活動是否正常,那是程序員和管理員所要做的工作。libpcap和tcpdump在網上廣為流傳,開發者可以到相關網站下載。
構建并配置探測器,實現數據采集功能
a. 應根據自己網絡的具體情況,選用合適的軟件及硬件設備,如果你的網絡數據流量很小,用一般的PC機安裝Linux即可,如果所監控的網絡流量非常大,則需要用一臺性能較高的機器。
b. 在Linux服務器上開出一個日志分區,用于采集數據的存儲。
c. 創建libpcap庫。從網上下載的通常都是libpcap.tar.z的壓縮包,所以,應先將其解壓縮、解包,然后執行配置腳本,創建適合于自己系統環境的Makefile,再用make命令創建libpcap庫。libpcap安裝完畢之后,將生成一個libpcap庫、三個include文件和一個man頁面(即用戶手冊)。
d. 創建tcpdump。與創建libpcap的過程一樣,先將壓縮包解壓縮、解包到與libpcap相同的父目錄下,然后配置、安裝tcpdump。
建立數據分析模塊
網上有一些開放源代碼的數據分析軟件包,這給我們構建數據分析模塊提供了一定的便利條件,但這些“免費的午餐”一般都有很大的局限性,要開發一個真正功能強大、實用的IDS,通常都需要開發者自己動手動腦設計數據分析模塊,而這往往也是整個IDS的工作重點。數據分析模塊相當于IDS的大腦,它必須具備高度的“智慧”和“判斷能力”。所以,在設計此模塊之前,開發者需要對各種網絡協議、系統漏洞、攻擊手法、可疑行為等有一個很清晰、深入的研究,然后制訂相應的安全規則庫和安全策略,再分別建立濫用檢測模型和異常檢測模型,讓機器模擬自己的分析過程,識別確知特征的攻擊和異常行為,最后將分析結果形成報警消息,發送給控制管理中心。設計數據分析模塊的工作量浩大,并且,考慮到“道高一尺,魔高一丈”的黑客手法日益翻新,所以,這注定是一個沒有終點的過程,需要不斷地更新、升級、完善。在這里需要特別注意三個問題:①應優化檢測模型和算法的設計,確保系統的執行效率;②安全規則的制訂要充分考慮包容性和可擴展性,以提高系統的伸縮性;③報警消息要遵循特定的標準格式,增強其共享與互操作能力,切忌隨意制訂消息格式的不規范做法。
構建控制臺子系統
控制臺子系統的設計重點是:警報信息查詢、探測器管理、規則管理及用戶管理。
a. 警報信息查詢:網絡管理員可以使用單一條件或復合條件進行查詢,當警報信息數量龐大、來源廣泛的時候,系統需要對警報信息按照危險等級進行分類,從而突出顯示網絡管理員需要的最重要信息。
b. 探測器管理:控制臺可以一次管理多個探測器(包括啟動、停止、配置、查看運行狀態等),查詢各個網段的安全狀況,針對不同情況制訂相應的安全規則。
c. 規則庫管理功能:為用戶提供一個根據不同網段具體情況靈活配置安全策略的工具,如一次定制可應用于多個探測器、默認安全規則等。
d. 用戶管理:對用戶權限進行嚴格的定義,提供口令修改、添加用戶、刪除用戶、用戶權限配置等功能,有效保護系統使用的安全性。
構建數據庫管理子系統
一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息,還應詳細地記錄現場數據,以便于日后需要取證時重建某些網絡事件。數據庫管理子系統的前端程序通常與控制臺子系統集成在一起,用Access或其他數據庫存儲警報信息和其他數據。該模塊的數據來源有兩個:①數據分析子系統發來的報警信息及其他重要信息;②管理員經過條件查詢后對查詢結果處理所得的數據,如生成的本地文件、格式報表等。
聯調,一個基本的IDS搭建完畢
以上幾步完成之后,一個IDS的最基本框架已被實現。但要使這個IDS順利地運轉起來,還需要保持各個部分之間安全、順暢地通信和交互,這就是聯調工作所要解決的問題。首先,要實現數據采集分析中心和控制管理中心之間的通信,二者之間是雙向的通信。控制管理中心顯示、整理數據采集分析中心發送過來的分析結果及其他信息,數據采集分析中心接收控制管理中心發來的配置、管理等命令。注意確保這二者之間通信的安全性,最好對通信數據流進行加密操作,以防止被竊聽或篡改。同時,控制管理中心的控制臺子系統和數據庫子系統之間也有大量的交互操作,如警報信息查詢、網絡事件重建等。聯調通過之后,一個基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能,尤其是提高系統的檢測能力。
評論于 4個月前,獲得 0 個贊
為應對網絡安全面臨的挑戰常用的防護技術有以下這些:
可信化技術:從傳統計算機安全理念過渡到以可信計算理念為核心的計算機安全,并以此為基礎來構建網絡信任環境。人們開始試圖利用可信計算的理念來解決計算機安全問題,其主要思想是在硬件平臺上引入安全芯片,從而將部分或整個計算平臺變為“可信”的計算平臺。很多問題需要研究和探索,如可信計算模塊、平臺、軟件、應用(可信計算機、可信PDA)等。
網絡化技術:網絡類型和應用的不斷變化為信息安全帶來了新的問題,它們顯然會進一步引發安全理論和技術的創新發展。近幾年來,無線網絡發展很快,從傳統的無線網絡到現在的傳感器網絡及IP化的衛星網絡,無不影響著網絡安全技術的發展。各種應用的網絡化,對網絡安全提出了越來越高的需求,也在不斷促進網絡安全技術的發展。已有很多安全機制采用云-端結合的方式來解決安全問題,如云殺毒大幅提高了網絡殺毒軟件的查殺能力。
集成化技術:從推出的信息安全產品和系統來看,它們越來越多地從單一功能向多種功能合一的方向發展。不同安全產品之間也加強了合作與聯動,形成合力共同構建安全的網絡環境。
可視化技術:隨著網絡流量、網絡安全事件、網絡應用的快速增長,將海量的網絡安全態勢信息以易懂的圖形化形式呈現出來顯得非常必要。可視化不是簡單地將數據圖形化呈現,不是日志信息的簡單分類和歸集,而是深度挖掘這些原始素材背后的內在關聯,以全局視角幫助網絡管理者看清各種威脅,看清攻擊事件的全貌,幫助了解攻擊者的真正意圖和目標,全方位展示網絡安全態勢。
評論于 2年前,獲得 0 個贊
不同的信息系統評估方向不一樣,但是做好如下幾點可以防止信息泄露:
- 規范數據安全管理機制。
采用中心點統一管理,多點協同治理的策略,嚴格把控和確保數據從采集、傳輸、處理到使用的各環節的數據安全。在企業內部圍繞數據安全階段性開展數據安全教育培訓與分享,打造嚴格的數據安全意識。例如,與數據安全公司丁牛科技等數據安全公司建立戰略合作模式,借助其打造的軍工品質的智能網安產品,建立智能的網絡安全屏障,為數據安全保駕護航。
- 遵守數據采集合法、合規、合理的原則。
在客戶為用戶提供服務時,要求用戶明確說明用戶隱私條款內容及授權。如,在隱私條款中體現 nEqual 作為數據服務商,擁有對數據在規范場景下的使用權。拒絕接收無任何提示,強制采集的用戶數據。對于需要接入的外部供應商所提供的數據源,需要供應商明確數據來源、提供相關證明并得到消費者授權。
- 依法存儲和使用數據。
在授權獲取的情況下,通過嚴格的數據加密技術進行傳輸和存儲,在使用前,再次使用數據脫敏技術實現數據的清洗和加工,去標識化,為后續所有的分析做好準備,對于分析型的數據都是基于加密和脫敏數據進行,且該過程不可逆,保障數據的合理收集與安全使用。
評論于 8個月前,獲得 0 個贊
反蜜罐技術有以下四種:
主動識別技術:主動識別是指攻擊者通過主動發包,根據目標系統反饋特征進行識別。包括TCP/IP協議棧指紋特征識別、系統行為特征識別、飽和攻擊特征識別和其他。其中前兩種為最為常用的兩種方法。
被動識別技術:被動識別主要是攻擊者利用嗅探工具捕捉蜜罐網絡上的數據包來分析判斷蜜罐的存在。如蜜罐的各個部分為了完成功能,就要通過網絡有機的聯系起來,捕捉信息的傳輸、日志信息的備份等都要通過網絡進行。攻擊者可以通過利用嗅探工具捕獲蜜罐網絡上得分這些異常數據來判斷蜜罐的存在。包括IP包特征識別、異常數據包特征識別和其他。
配置失真技術:我們已經知道低交互蜜罐是不能夠給敵人提供一個完整的操作系統環境,所以可以通過使用一些復雜的命令和操作,以及一些想不到的輸出解決來檢查是不是處在蜜罐環境中。另外一種情況就是出現了配置失真,也就是說在一臺機器上出現了兩種不同平臺的服務,舉個例子:運行一個Windows的Web服務器同時運行了一個Linux的FTP服務器,這樣的話就出現了配置失真。使用nmap -sV這個方法可以來觀察開啟的服務,如果發現了平臺與服務不匹配的,說明這很有可能就是一個蜜罐。
數據包時間戳分析技術:如果我們僅通過查看網絡數據包能很容易的推斷出一個機器的物理屬性,我們就很有可能辨別物理服務器和虛擬蜜罐。事實證明,TCP提供了一些直接反映底層服務器狀態的信息。TCP時間戳選項被網絡堆棧用于確定重傳超時時間。機器中的無歷史中安特定頻率更新時間戳,我們也知道,所有的物理時鐘都有一定時鐘偏差,他們或多或少于實際運行時間。通過打開一個到主機的TCP鏈接,并記錄為每個連接所提供的時間戳,就可以去觀察時間偏差。我們的希望是每個物理系統或者是操作系統顯示出來不同的偏差。如果說一個服務器上運行了多個蜜罐的話,就容易出現每一個蜜罐出現相同的時間偏差,這樣的話蜜罐就完全暴露了。這種基于對硬件檢測的思想也可以在一定程度上去實現檢測是不是蜜罐。
評論于 4個月前,獲得 0 個贊
為應對網絡安全面臨的挑戰常用的防護技術有以下這些:
可信化技術:從傳統計算機安全理念過渡到以可信計算理念為核心的計算機安全,并以此為基礎來構建網絡信任環境。人們開始試圖利用可信計算的理念來解決計算機安全問題,其主要思想是在硬件平臺上引入安全芯片,從而將部分或整個計算平臺變為“可信”的計算平臺。很多問題需要研究和探索,如可信計算模塊、平臺、軟件、應用(可信計算機、可信PDA)等。
網絡化技術:網絡類型和應用的不斷變化為信息安全帶來了新的問題,它們顯然會進一步引發安全理論和技術的創新發展。近幾年來,無線網絡發展很快,從傳統的無線網絡到現在的傳感器網絡及IP化的衛星網絡,無不影響著網絡安全技術的發展。各種應用的網絡化,對網絡安全提出了越來越高的需求,也在不斷促進網絡安全技術的發展。已有很多安全機制采用云-端結合的方式來解決安全問題,如云殺毒大幅提高了網絡殺毒軟件的查殺能力。
集成化技術:從推出的信息安全產品和系統來看,它們越來越多地從單一功能向多種功能合一的方向發展。不同安全產品之間也加強了合作與聯動,形成合力共同構建安全的網絡環境。
可視化技術:隨著網絡流量、網絡安全事件、網絡應用的快速增長,將海量的網絡安全態勢信息以易懂的圖形化形式呈現出來顯得非常必要。可視化不是簡單地將數據圖形化呈現,不是日志信息的簡單分類和歸集,而是深度挖掘這些原始素材背后的內在關聯,以全局視角幫助網絡管理者看清各種威脅,看清攻擊事件的全貌,幫助了解攻擊者的真正意圖和目標,全方位展示網絡安全態勢。
