您现在的位置是:首页 >技术教程 >网络安全-应急响应网站首页技术教程

网络安全-应急响应

IT界颜值巅峰彭于晏 2023-06-02 04:00:02
简介网络安全-应急响应

一、概述

​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,尽量减少安全事件对组织的影响和损失。

二、基本思路流程

收集信息:收集客户信息和中毒主机信息,包括样本。

判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。

深入分析:日志分析、进程分析、启动项分析、样本分析。

清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。

产出报告:整理并输出完整的安全事件报告。

三、分析方向

1、文件分析

(1)文件变动查询:

find / -mmin -2 (找查两分钟之内文件内容变化的文件)

(2)查询文件最后修改时间:

ls --full-time [文件名]

(3)查询文件哈希值

md5sum [文件名]

2、日志分析

(1)Linux系统日志:

/var/log下的secure、messages日志文件比较常用

cat [文件名]|grep [关键字]|wc -l (统计)

(2)Windows系统日志

此电脑--->右键点击管理--->系统工具--->事件查看器--->Windows日志

3、进程分析

(1)查看CPU或内存资源占用:top

(2)查看进程的路径:ps -ef

(3)查看正在监听的端口和名字:netstat -ntplu

(4)查看开机启动服务:systemctl list-unit-files

(5)查看服务是否在运行:systemctl status [服务名]

(6)计划任务:crontab -l、/etc/cron.d、/etc/crontab

(7)查看文件哈希:

Windows:certutil.exe -hashfile .1.txt (需要用powershell)

Linux:md5sum [文件名]

4、用户分析

Linux系统

(1)查看用户:/etc/passwd、/etc/shadow

Windows系统

(1)查看用户:net user、注册表中SAM文件查看

5、网络分析

(1)网卡配置信息

/etc/sysconfig/network-scripts

(2)查看DNS

cat /etc/resolv.conf

(3)查看网关:route

(4)查看监听端口和相关服务

6、配置分析

(1)查看Linux SE

cat /etc/selinux/config (查看是否是开机自启动)

getenforce (查看当前状态)

(2)查看iptables

iptables -L

(3)查看环境变量

echo &PATH

7、监控分析

(1)如zabbix等监控工具

四、排查思路

1、Windows木马入侵

排查思路:

1、可能通过网络连接观察异常端口或者IP通信

2、可以通过任务管理器,详细信息,找到异常文件

3、通过网络连接,详细信息找到异常进程文件,使用杀毒软件检测

防御:

1、开启windows防火墙

2、安装正版的杀毒软件

2、Linux服务器22端口入侵

排查思路:

1、排查网页修改时间

2、查看日志,分析服务器登录时间及IP

防御:

1、服务器设置强密码

2、22端口不对公网开放

3、使用堡垒机及指定IP登录

3、Windows系统3389端口入侵

排查思路:

1、查看日志,分析服务器登录时间及IP

2、查看用户是否有异常

防御:

1、密码大小写,数字,字符不低于8位,使用强密码

2、3389如非必须,不开启个人电脑3389端口

3、如开启3389,指定固定IP可连接

4、DNS&DHCP攻击

Windows排查思路:

1、排查电脑本机C:WindowsSystem32driversetchosts文件

2、重启浏览器,确认是否有浏览器缓存

3、ipconfig /all 查看DHCP服务器及DNS服务器IP是否正确

防御:

1、网络接入认证

2、定期网络扫描,是否有内网IP提供DNS服务

3、交换机上把dhcp Snooping开启,防止非法DHCP服务器

5、ARP欺骗攻击

排查思路:

1、排查arp表

2、对比MAC地址是否有异常

防御:

1、安装ARP防火墙

2、手动绑定MAC地址

3、网络接入认证,拒绝非实名认证设备接入网络

6、DDoS攻击

常见的方法:

CC攻击:攻击者借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装就叫:CC(Challenge Collapsar),CC主要用来攻击页面的。

SYN攻击:SYN攻击是黑客攻击的手段。SYN洪泛攻击的基础是依赖TCP建立连接时三次握手的设计。

纯流量攻击:发送大量垃圾流量。

排查思路:

1、查看应用日志(CC攻击)

2、查看服务器网络链接(SYN攻击)

3、监控查看网络流量(纯流量攻击)

防御:

1、接入第三方抗DDoS云平台

2、流量清洗

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。