您现在的位置是:首页 >技术教程 >网络安全-应急响应网站首页技术教程
网络安全-应急响应
一、概述
应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,尽量减少安全事件对组织的影响和损失。
二、基本思路流程
收集信息:收集客户信息和中毒主机信息,包括样本。
判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。
深入分析:日志分析、进程分析、启动项分析、样本分析。
清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。
产出报告:整理并输出完整的安全事件报告。
三、分析方向
1、文件分析
(1)文件变动查询:
find / -mmin -2 (找查两分钟之内文件内容变化的文件)
(2)查询文件最后修改时间:
ls --full-time [文件名]
(3)查询文件哈希值
md5sum [文件名]
2、日志分析
(1)Linux系统日志:
/var/log下的secure、messages日志文件比较常用
cat [文件名]|grep [关键字]|wc -l (统计)
(2)Windows系统日志
此电脑--->右键点击管理--->系统工具--->事件查看器--->Windows日志
3、进程分析
(1)查看CPU或内存资源占用:top
(2)查看进程的路径:ps -ef
(3)查看正在监听的端口和名字:netstat -ntplu
(4)查看开机启动服务:systemctl list-unit-files
(5)查看服务是否在运行:systemctl status [服务名]
(6)计划任务:crontab -l、/etc/cron.d、/etc/crontab
(7)查看文件哈希:
Windows:certutil.exe -hashfile .1.txt (需要用powershell)
Linux:md5sum [文件名]
4、用户分析
Linux系统
(1)查看用户:/etc/passwd、/etc/shadow
Windows系统
(1)查看用户:net user、注册表中SAM文件查看
5、网络分析
(1)网卡配置信息
/etc/sysconfig/network-scripts
(2)查看DNS
cat /etc/resolv.conf
(3)查看网关:route
(4)查看监听端口和相关服务
6、配置分析
(1)查看Linux SE
cat /etc/selinux/config (查看是否是开机自启动)
getenforce (查看当前状态)
(2)查看iptables
iptables -L
(3)查看环境变量
echo &PATH
7、监控分析
(1)如zabbix等监控工具
四、排查思路
1、Windows木马入侵
排查思路:
1、可能通过网络连接观察异常端口或者IP通信
2、可以通过任务管理器,详细信息,找到异常文件
3、通过网络连接,详细信息找到异常进程文件,使用杀毒软件检测
防御:
1、开启windows防火墙
2、安装正版的杀毒软件
2、Linux服务器22端口入侵
排查思路:
1、排查网页修改时间
2、查看日志,分析服务器登录时间及IP
防御:
1、服务器设置强密码
2、22端口不对公网开放
3、使用堡垒机及指定IP登录
3、Windows系统3389端口入侵
排查思路:
1、查看日志,分析服务器登录时间及IP
2、查看用户是否有异常
防御:
1、密码大小写,数字,字符不低于8位,使用强密码
2、3389如非必须,不开启个人电脑3389端口
3、如开启3389,指定固定IP可连接
4、DNS&DHCP攻击
Windows排查思路:
1、排查电脑本机C:WindowsSystem32driversetchosts文件
2、重启浏览器,确认是否有浏览器缓存
3、ipconfig /all 查看DHCP服务器及DNS服务器IP是否正确
防御:
1、网络接入认证
2、定期网络扫描,是否有内网IP提供DNS服务
3、交换机上把dhcp Snooping开启,防止非法DHCP服务器
5、ARP欺骗攻击
排查思路:
1、排查arp表
2、对比MAC地址是否有异常
防御:
1、安装ARP防火墙
2、手动绑定MAC地址
3、网络接入认证,拒绝非实名认证设备接入网络
6、DDoS攻击
常见的方法:
CC攻击:攻击者借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装就叫:CC(Challenge Collapsar),CC主要用来攻击页面的。
SYN攻击:SYN攻击是黑客攻击的手段。SYN洪泛攻击的基础是依赖TCP建立连接时三次握手的设计。
纯流量攻击:发送大量垃圾流量。
排查思路:
1、查看应用日志(CC攻击)
2、查看服务器网络链接(SYN攻击)
3、监控查看网络流量(纯流量攻击)
防御:
1、接入第三方抗DDoS云平台
2、流量清洗