构建内网安全的威胁与方法

2020-10-24 03:01:31 蜻蜓队长

网络钓鱼

  • 诀窍
    • 选好钓位,选准钓饵,备好钓具,练好钓具
  • 行为特征
    • 各式各样的欺骗
    • 邮件带附件
  • 成本
    • 时间和耐心
    • 0Day,不愿也上钩

人肉

  • 方法
    • 无线网络攻击
      • 窃取接入密码
      • 流氓AP攻击
    • 直接物理攻击
      • 成功应聘某个岗位,直接攻击企业内部
  • 成本
    • 物理上接近目标
    • 器材
  • 应对方法
    • 管好无线
      • Radius 证书 双因素 隔离
        • 无线用户使用独立的网络,不接入办公网
        • Client lsolation
      • 防止流氓AP
        • 员工私自安装的AP:禁止安装
        • 黑客安装的AP(airsnarf):隔离
    • 做好应聘人员背景调查

渗透

  • 黑客思路:在扎根、扩大权限的同时找东西
  • 攻击方式
    • 扫描端口,漏洞,弱密码和共享
    • 破解密码并尝试登陆
    • 安装不同的后门
    • 网络欺骗
  • 攻击成本
    • 工具:扫描,数据分析,文件查找,密码破解,后门
    • 时间:太快容易被发现,太慢也容易被发现
  • 应对方法
    • 应对扫描和密码破解
      • Ip地址一对多,目的端口相对固定
      • 数据包行为短时间内大量重复
    • 后门
      • 后门的分类和部署方式
        • 按公开程度分:私有、小范围公开和完全公开私有、小范围公开和完全公开
        • 按协议分:UDP TCP ICMP FTP SMTP HTTP
        • 按行为分:正连(被动)和 回连(主动)
        • 按性质分:干活用,尽量方便;回生用,尽量隐蔽。BIOS,引导区
        • 公开私有混合部署,多种协议混合部署;正连回连混合部署;大量干活,少量回生
      • 检测后门
        • 行为检测
        • 协议特征
        • 监控响应
    • 应对欺骗
      • 欺骗的类型
        • ARP欺骗:MAC-IP
        • CAM欺骗:MAC-PORT
      • 行为特征
        • 大量ARP包
        • 元素对应关系变化频繁
      • 应对方法
        • Arp监控
        • Cisco Port Security
        • .•划VLAN禁共享,监控扫描、破解、欺骗和后门

收货

  • 行为分析
    • 收货:黑客从办公网下载数据的过程
    • 收货的方式
      • 用后门直接下载
      • 用邮件发送
      • 结合包转发程序用HTTP/FT[+Socks多线程下载(HTran)
    • 行为特征
      • 超长连接
      • Socks4/5协议
      • 持续大量PSH-ACK
  • 应对收货
    • Panabit 监控主机流入流出的流量
    • 监控长连接、Socks和上传流量
      >炒鸡辣鸡原创文章,转载请注明来源
点击查看更多内容

以上内容来自于网络,如有侵权联系即删除
相关文章

上一篇: nodejs按行读取文件和写入文件的demo

下一篇: 客户端安全相关知识点

客服紫薇:15852074331
在线咨询
客户经理