cc防御_香港cdn高防ip_云网站服务器ddos防护-51首防安全

当前位置:主页 > 高防CDN > 本文内容

ddos解决_能不能防_防网站攻击

发布时间:2021-02-23 14:02源自:51首防安全作者:51首防安全阅读()

ddos解决_能不能防_防网站攻击

当安全操作中心或安全团队从我们的安全设备或威胁情报来源获得数据输出时,它往往缺乏任何合理的背景来作为调查的依据。当我们有定义特定类型攻击(通常主要是IP地址和文件哈希)的妥协指标(IOC)时,这可能会造成一个非常困难的起点;最好的情况下效率低下,最坏情况下会瘫痪。没有智能的数据缺乏上下文,我们需要上下文才能成功。让我们用一个真实的例子来说明这一点。灰熊草原我们可以从2016年美国大选期间发生的袭击事件中找到一个比较新的例子,即代号为Grizzly Steppe的袭击事件。这些攻击据称是由俄罗斯情报部门(RIS)实施的,试图通过过滤和暴露敏感信息、破坏对选举进程的信心、破坏关键基础设施等方式影响选举进程,所有这些都以各种网络钓鱼攻击为后盾,恶意软件,盗用的凭证,以及一系列其他手段。为了打击这些袭击,美国国土安全部(DHS)和国家情报局长办公室(DNI)于2016年12月发布了一份联合分析报告(JAR)。报告附带了一个包含IoCs的文件,可以用来检测特定企业中是否存在灰熊草原攻击群,花式熊(APT28)和舒适熊(APT29)。公布的数据国际奥委会文件包括:1个URL10个FQDN876个IPv4 IP地址1雅拉规则24个文件哈希,7个附带文件信息不幸的是,大部分信息都是非常笼统的,其中很大一部分IP地址指向大型云计算公司的地址空间,如谷歌、雅虎和Twitter。虽然这不一定是不正确的,因为攻击者确实在使用这些服务,但从调查的角度来看,这是没有用的。如果我们使用这些ioc查询安全设备,比如安全信息事件监视(security Information Event Monitoring,SIEM)工具,那么在大多数环境中,我们都会返回大量的结果,因为我们需要的是关于非常常见的用户活动的信息。特别是,Grizzly Steppe IoC中的结果非常普遍,以至于在大型企业环境中查询通用的安全设备集时,它将返回上百万个结果。有鉴于此,我们能做些什么来让我们的事件响应团队真正能够全力以赴地投入工作吗?幸运的是,有。了解一些情况为了从我们掌握的一般信息中获得有用的信息,我们可以使用各种工具对其进行一些分析。许多这些分析任务在本质上是非常相似的,所以我们有一个工具可以用于我们的工作,我们可以继续重用和完善它,只要我们有理由再次应用它。这里我们将重点讨论IP地址和文件哈希。IP地址我们可以使用命令行客户机查询Shodan的IP信息。让我们快速看一下第一个IP:肖丹主机167.114.35.70我们可以看到一些关于这个的基本信息——没有什么有趣的,但是让我们看看其余的。为此,我们将使用一个脚本,维盟DDOS自动防御,并且有许多现有的示例可以利用。我们将把IPs从IoC文件中提取到它们自己的名为hosts的文本文件中,并使用Shodan开发人员John Matherly的脚本来处理这些ip并下载信息:蟒蛇。/肖丹·伊普-下载.py主持人hosts.json.gz我们将得到一个json格式的文件,适合使用Shodan命令行工具进行解析,如下所示:shodan parse—分隔符,免费防御cc,集群部署防御ddos,hosts.json.gz这将给我们一个CSV文件,我们可以在空闲时浏览它。这样做之后,一个有趣的信息点是,许多IP地址(约20%)是Tor出口节点。文件哈希为了处理文件散列,我们可以将其提交到我们环境中的反恶意软件平台。不过,如果能多了解一点就好了。毕竟,如果IoC中列出的文件是恶意软件,我们很可能很快就会看到它们的新变种,而且最好知道我们应该寻找的是什么样的家庭。为此,我们可以求助于VirusTotal。对于我们正在处理的非常少的文件,关闭ddos防御,如我们前面提到的24,我们可以通过VirusTotal搜索字段将它们轰击,返回一些有趣的注释:这是可行的,但规模不大。幸运的是,didierstevens有一个Python工具来帮助我们解决这个问题。我们可以在一个名为samples的文本文件中为脚本提供一个IoC文件中所有文件哈希值的列表,它将尽职地询问VirusTotal(我们需要一个API密钥)关于它们的信息,最终将向我们提供一个CSV文件,其中包含所有结果:./总价值-搜索.py样品您还可以使用Komand来自动化Shodan和VirusTotal的数据充实过程。数据应该是这样的:既然我们有了更具体的数据,我们该何去何从?现在我们去调查一下。我们有一个更具体的IP地址列表。假设在我们的环境中使用Tor并不常见,这是一个很好的起点。从那里,我们可以看到使用Tor的系统内部还接触了什么,并进行了进一步的调查。我们也有一套很好的恶意软件,以及潜在的变种,需要调查。这两个项目都足够具体,我们可以通过查询SIEM得到一组更易于管理的结果。一旦我们很好地观察了那些在正常系统活动中表现为异常值的系统,通过Tor通信或显示类似恶意软件的行为,除了捕捉坏人外,我们还可以使用这些结果来帮助改进我们的安全工具。ids可以被调整,YARA特征被添加到我们的反恶意软件设备中,并且可以更好地查询和修改我们的siem配置。正如我们前面所讨论的,ddos防御采购,通过开发更好的调查工具,我们在下次需要这样做的时候为自己铺平了道路。结论在我们作为安全专业人员的日常工作中,我们需要背景才能成功。俗话说"垃圾进,垃圾出"。幸运的是,只要有一点润滑油,一些命令行功夫,再加上一点点聪明,我们通常可以通过一些简单的工具处理数据,从而获得更好的上下文环境。就像魔术师的把戏,一旦我们知道它是怎么做的,它看起来就不多了,但这些都是安全产业赖以生存的策略。下一次,当你发现自己面对着堆积如山的日志文件或一堆无用的数据时,喝杯新鲜咖啡,卷起袖子,看看你能从中得到什么,通过对数据进行一点处理来获得一些背景信息,并钻研有趣的信息。

欢迎分享转载→ ddos解决_能不能防_防网站攻击

用户评论

验证码: 看不清?点击更换

注:网友评论仅供其表达个人看法,并不代表本站立场。

Copyright © 2002-2019 51首防安全 版权所有 备案号:粤ICP备xxxxxxxx号收藏本站 - 网站地图 - - -