2024網(wǎng)絡(luò)攻擊應(yīng)急處置技術(shù)

第第113頁網(wǎng)絡(luò)攻擊應(yīng)急處置技術(shù)目錄TOC\o"1-3"\h\u32170網(wǎng)絡(luò)攻擊應(yīng)急處置技術(shù) 1254677.1.DDOS 367597.1.1攻擊介紹 3147787.1.2攻擊防護 4225061.小流量攻擊 428556人工干預(yù)處置 52406410.事后審計分析攻擊日志，優(yōu)化現(xiàn)有防護措施并嘗試溯源。 637867.2.CC 6295507.2.1攻擊介紹 6241047.2.2攻擊防護 669061.CC 6227052.CC 7167583.CC 7261387.3.WEB 9197797.3.1攻擊介紹 96977.3.2攻擊防護 989487.4.木馬后門處置 11153927.4.1攻擊介紹 1140817.4.2攻擊防護 11204002.Windows 14213243.Linux 17252474.惡意木馬查殺 18322947.5.異常日志分析處置 19182397.5.1日志分析方法 19287607.5.2日志分析范圍 2685967.6.未知威脅處置 2669677.6.1攻擊介紹 2634477.6.2攻擊防護 27DDOS攻擊介紹DDOSDDOSDDOSTCPSYNUDPFLOOD,ICMPFLOOD攻擊防護1.小流量攻擊小流量DDOS攻擊指攻擊流量不超過1Gbps的DDOS攻擊行為。DDOSDDOSDDOSDDOSIPS：檢測到異常行為，告警并基于規(guī)則阻斷。DDOS監(jiān)控系統(tǒng)：監(jiān)控系統(tǒng)監(jiān)控到網(wǎng)絡(luò)流量的突發(fā)異常行為并告警。2.大流量攻擊大流量DDOS攻擊指攻擊流量超過1Gbps的DDOS攻擊行為。IDCXflowDDOSDDOSIDC注冊網(wǎng)安全防護體系：類同小流量攻擊。業(yè)務(wù)系統(tǒng)異常表現(xiàn)：業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)異常行為的直接表現(xiàn)。3.防御辦法及流程具體流程如下圖：人工干預(yù)處置針對DDOS攻擊的人工干預(yù)處置建議如下：時刻關(guān)注與檢查安全設(shè)備告警及異常情況。時刻關(guān)注監(jiān)控系統(tǒng)及業(yè)務(wù)系統(tǒng)告警及異常情況定期查看網(wǎng)絡(luò)傳輸數(shù)據(jù)包是否有異常。發(fā)現(xiàn)攻擊時，第一時間確定攻擊類型、頻次及攻擊量定性。核查安全防護設(shè)備是否具備防御攻擊類型的策略。注冊系統(tǒng)無法承擔(dān)的攻擊流量時，及時協(xié)調(diào)上游運營商介入防御及清洗。確認(rèn)清洗及防御效果，根據(jù)業(yè)務(wù)情況決定是否切換備機。加固系統(tǒng)和防御設(shè)備配置。事后審計分析攻擊日志，優(yōu)化現(xiàn)有防護措施并嘗試溯源。CC攻擊介紹CCWEBCC攻擊分為針對IP地址，域名兩種類型。攻擊防護CCCCWAF防火墻：大量連接，遠(yuǎn)超正常業(yè)務(wù)訪問模型，防火墻產(chǎn)生連接相應(yīng)的記錄日志。IPS：大量連接，遠(yuǎn)超正常業(yè)務(wù)訪問模型，IPS產(chǎn)生連接相應(yīng)的記錄日志。監(jiān)控系統(tǒng)：突發(fā)大量連接產(chǎn)生告警。WEBWEBCCCC日志分析系統(tǒng)：采集到安全設(shè)備及業(yè)務(wù)系統(tǒng)異常行為告警。注冊網(wǎng)系統(tǒng)：正常連接或正常業(yè)務(wù)訪問異常。CCCC攻擊的處置具體流程如下圖：CC針對人工干預(yù)CC攻擊處置建議如下：WAF。及時關(guān)注監(jiān)控系統(tǒng)及業(yè)務(wù)系統(tǒng)告警及異常情況WAF檢查服務(wù)器負(fù)載及業(yè)務(wù)訪問情況。檢查服務(wù)器及注冊系統(tǒng)連接處理超時配置，并根據(jù)情況改小。IPIPCCIPCC/解綁域名及更換端口號。IP。事后審計分析攻擊日志，優(yōu)化現(xiàn)有防護措施并嘗試溯源。WEB攻擊介紹webowasptop10webweb攻擊防護webWAFWEB應(yīng)用審計系統(tǒng)：WEB異常訪問行為的告警。WAF：檢測并識別出web攻擊，并對web攻擊進行防御。日志分析系統(tǒng)：采集到安全設(shè)備及業(yè)務(wù)系統(tǒng)異常行為告警。注冊網(wǎng)系統(tǒng)：正常連接或正常業(yè)務(wù)訪問異常。web防護流程木馬后門處置攻擊介紹webshellWindows，Linux攻擊防護webshell本文僅為舉例，其他查殺，方法類同。對于服務(wù)器的PHPwebshell查殺,常見的eval、assert型后門：PHPPHPPHPphpjpgphpPHPLinuxPHPpythonpythonpythonmain.py/var/www/jspgetRuntime()特征字符串。Windowsfindstr /n/s/i “getRuntime”“*.jsp” >1.log在linux系統(tǒng)中可以使用find命令結(jié)合grep過濾來進行查找/var/www目錄jsp后門：find/var/www/ -typef-name"*.*"|xargs grep'getRuntime'find例如查找出/root/目錄前第六天到前第一天改動的文件find/root/-ctime+1-ctime-6WindowswindowsAdministratorGuestGuestGuestGuest使用命令激活并查看狀態(tài)：netuserGuest/active:yes在windowsguestadministratorsguestnetuserguestnetlocalgroupadministratorsguest/addguestGuest用戶激活后登陸服務(wù)器的遠(yuǎn)程桌面：入侵者通過注冊表來建立隱藏賬號，可以通過工具來查找并刪除隱藏賬號.Linux后門賬號的登錄系統(tǒng)不會記錄，一般記錄正常用戶的登錄行為:rootLinux/etc/passwd/etc/shadowsshrpmrpm-Vfsshd程序被修改過；如果沒有輸出，則說明文件正常。rkhunterrkhunter/usr/local/bin/rkhunter：使用命令/usr/local/bin/rkhunter --check命令來檢測惡意木馬查殺WindowsIceSwordLinuxLinuxrookitclamAV山東東方安和信息科技有限公司網(wǎng)絡(luò)安全保衛(wèi)企業(yè)標(biāo)準(zhǔn)異常日志分析處置日志分析方法WEBLinux，WindowsApache，LinuxWindows安全事件告警登錄告警源設(shè)備查找日志分析若存在分析告警類型相關(guān)日志定位安全事件原因解決溯源。安全事件告警登錄告警源設(shè)備查找日志分析若不存在登錄日志審計系統(tǒng)分析定位安全事件原因解決溯源。例：Apache日志分析方法介紹：apacheaccess.logIP日期 請求方法URL 返回狀態(tài)碼返回大小webshellyijuhua.phpyijuhua.phpyijuhua.php在日志中搜索yijuhua.php：yijuhua.php再繼續(xù)向前看，發(fā)現(xiàn)在同一秒時間內(nèi)存在大量的請求，并且是請求相同目錄下的類似頁面，可以判斷這是爬蟲在不斷爬去網(wǎng)站的鏈接，并不斷請求：繼續(xù)向前分析日志，發(fā)現(xiàn)了短時間出現(xiàn)大量請求，并且狀態(tài)碼均為404，這說明是攻擊者在使用爆破工具，對目錄和文件名進行暴力猜解。404403linux404cataccess.log|grep–v‘404’|grep–v‘403’>1234.txt404403466458281測試日志中的/hbcms//article/phpmyadminroot:root，并且可以查詢用戶名和密碼：SQLWVSarticle在篩選后的日志發(fā)現(xiàn)存在一個/test/test.php文件，比較可疑：在瀏覽器中打開鏈接，這是一個明顯的SQL注入情景：在日志中繼續(xù)看test.php文件，發(fā)現(xiàn)存在很多注入語句：復(fù)制其中一個獲取密碼的語句到瀏覽器中打開驗證，發(fā)現(xiàn)可以獲取后臺用戶名密碼：MD5admin:623e65031b1c73bfb47e635d6b530c72\hadmin6688