前面讲到,小明通过“分片混淆”的方式绕过了IPS。
于是,管理员提高防护能力,部署了Web应用防护系统(Web应用防火墙),简称WAF。相比于IPS,WAF的功能更专一,只用来防护网站,http或https协议,只要是用浏览器访问的,都是用这两个协议。Web可以完整地重组http协议包。
但传统的WAF也是基于规则的,只要基于规则,就有漏洞,所以小明又找到了绕过WAF防护的攻击方法,并在服务器上种上了木马。
管理员可以在服务器上部署主机防护系统,最基础的就是杀毒软件,可以定期扫描,杀毒软件通过md5值进行匹配,发现木马后把木马干掉。
这时候,小明可以做“免杀”,做出新的木马文件,去杀毒引擎的云平台去试,扫一下,看能不能被查出来。免于被杀毒软件的规则库匹配。
但是主机防护系统,不止支持特征库检测,还支持异常行为检测。虽然通过各种手段绕过了规则检测,但总有风险行为。只要你有非正常软件的行为,比如主动探测敏感文件,就会被异常行为监测发现、查杀。
学校升级系统,网站的架构改变了,小明不知道哪台服务器可以修改成绩了,只能随便控制一台内网服务器(肉鸡),可以在内网发起扫描,看有哪些存活的服务器和主机。对攻击者来说网络架构(有多少台服务器,都是什么IP)是黑盒。
当他扫描的时候,在网络横向中会产生很多异常流量,但对于单个节点来说只是收到了一次异常探测,不会告警或者只是低危警报,而且这些流量都不经过位于出口的防火墙、IDS、WAF等,所以这些设备都检测不到。
这个时候,就需要用到态势感知平台,它可以把内网关键节点的实际流量都复制一份过来,就可以分析出有大量的扫描行为,并且定位到发起扫描的服务器,完后定点关注、查杀。
态势感知平台的优势:
(1)空间维度,不是单点监测,所有核心的流量转发,不同位置的流量都可以镜像过来进行统一的监测和分析;
(2)时间维度,可以留存几个月(一般要求1个月或6个月)全流量的日志,就可以对比历史日志,来分析当下的日志是不是有异常。
因此,它的分析能力比单点的监测或防护设备更强,而且人工智能、大数据技术的利用,使它的分析能力更强。
态势感知系统有两大类,一个是通过日志进行分析,一个是通过流量就行分析。
来源:B站“不可逆的矩阵”,讲师阿焜
加餐:什么是肉鸡?
肉鸡也称傀儡机,是指可以被黑客远程控制的机器。通俗的说就是别人可以远程操控你的电脑,肉鸡一般被用作DDOS攻击,也就是黑客在你电脑植入木马(比如:灰鸽子),然后操控着你的电脑去攻击别人,你电脑就像傀儡一样,被别人操控的打另一个人。
如果你的电脑成了“肉鸡”,那么很有可能就会成为别人买卖的“肉鸡”,一些黑客需要发起攻击却没有足够的肉鸡时,就会问其他hack购买肉鸡用来发起攻击。
网友评论