来自 资讯 2021-10-14 09:07 的文章

服务器安全防护_200g高防服务器_如何防

服务器安全防护_200g高防服务器_如何防

糟透了,糟了,糟了…..神奇!前几天晚上轮到我妻子选电影了,这意味着没有功夫搏斗场面,也没有剑术搏斗,也没有汽车追逐。相反,有一个场景描绘了一个父亲正在和一个有三个孩子的父亲交谈。有三个孩子的父亲向父亲解释做父母的真正含义,并说:"做父母很可怕。。。糟透了…糟透了。。。但是有一个神奇的时刻让一切都值得…然后可怕。。。可怕的。。。可怕的重复"。读到这篇文章的家长,尤其是那些有小孩的家长,山石防火墙防御内网ddos,可能都在笑。然而,我觉得"可怕的,可怕的,可怕的,神奇的!"类比也非常准确地描述了渗透测试。无论是在圣诞节的早晨,还是在渗透测试中成功地破坏了一个系统,我都有类似的反应。虽然许多渗透测试人员可能不会公开承认这一点,防御cc是什么意思,但大多数渗透测试过程都相当糟糕。刘文妮在他的演讲"好的,坏的,可笑的"中第一次这样描述渗透测试。他展示了一张手绘的渗透测试仪在实际测试中的感受图。一个渗透测试人员从一开始就很强大,然后努力寻找漏洞和利用系统,然后像魔法一样,利用一个系统并在组织中站稳脚跟。对我来说,大多数渗透测试也是这样进行的。它从神奇的部分开始;有很多令人兴奋的地方,有大量的系统、服务和漏洞可供攻击。你会像一个5岁的孩子在圣诞节早上头晕。然后现实开始了,你意识到一个开放的FTP服务器或XSS漏洞并没有真正帮助你。当"可怕的"开始出现时,你会非常努力地去实现你目前所发现的东西,但这是一场艰难的战斗。我相信除非你运气好,否则大部分渗透测试时间都花在这里了。在这个"糟糕"的阶段,你在寻找那个"啊哈!"瞬间。无论是通过逆向工程代码还是通过猜测密码,你都需要一种走出这一可怕阶段的方法。好的渗透测试人员将超越这个阶段,并使"魔力"发生。他们会破坏一个系统,发现并利用弱点并获得对敏感信息的控制。然而,这种魔力是短暂的,因为报告撰写阶段就开始了,随之而来的是更多的"可怕"。让渗透测试仪处于"糟糕"的阶段虽然我在进攻上花了很多时间,但我想借此机会从防守的角度来看待这个问题。许多防守队员问:"作为防守队员,我们能做些什么来让进攻者的生活更加艰难?"这是一个很好的问题!根据我在各种播客上采访业内人士的一些经验,以及johnstrand和("rongula")最近的演讲,我得出了以下列表。下面是一些最有趣的,我认为是有效的方法来挫败渗透测试人员和攻击者:密码审核-获得主机访问权限的最简单和最可靠的方法之一是猜测用户名和密码。系统通常会连接到网络,默认用户名和密码不会更改!众所周知,这是许多攻击者首先要寻找的东西。作为一个防御者,您必须定期检查整个网络的这些默认值。例如,Nessus附带了几个测试默认登录凭据的插件,以及其他一些可以自动检测默认密码的工具。最重要的是要有一个过程,一旦用户名和密码被猜测或破解,就可以根据你选择的方法来更改它们。修补程序-大多数组织都有某种类型的修补程序管理过程来应用最新的安全修补程序。然而,在很大比例的测试中,有一些系统缺少补丁,并且已经脱离了常规补丁周期。网络扫描将快速识别这些系统,一旦发现,必须立即修补或从网络中拔出。即使它是一个测试系统,或者一个很快就会"生命终结"的系统,它也应该得到补救。攻击者会破坏这些系统并利用它们在您的网络中站稳脚跟。监控——我认为有两个监控领域被忽视了,这两个领域在抓捕攻击者方面非常有效。首先是传出网络流量。这并不是什么秘密,也不是一个新概念,但是查看传出连接可以产生对受损主机的高检测率。我花了很多时间监视大学的网络是否有漏洞,并且简单地使用netflow分析工具,我已经能够找出有可疑行为的主机。不仅如此,ddos攻击如何进行防御,将这些数据与其他网络流量或其他系统日志关联起来,可以找到多个受到危害的主机。例如,如果一台主机正在连接到已知的僵尸网络命令和控制服务器(或渗透测试框架"phone home"服务器),则可以查询网络日志以查找与该主机建立连接的其他系统。另一个重要的关联源是防病毒日志。如果主机正在进行可疑的传出连接并触发防病毒警报,则这是主机已被破坏的信号。虽然防病毒软件可能相当嘈杂,但一个很好的提示是查看终端用户工作站上正常工作时间以外发生的警报,这表明远程攻击者可能试图上载恶意负载。不同的防御对策-我真的很喜欢这一类的方法,因为它们代表了一些"开箱即用"的思维方式。我坚信,如果我们要保护我们的网络和信息免受攻击者的攻击,以下技术需要得到更广泛的应用:伪造DNS记录-打个比方,这就是矿里的金丝雀。实现起来很简单,只需使用公共名称创建DNS记录,并将其指向未使用或导致蜜罐系统的IP地址。例如,DNS子域暴力强制或猜测是常见的做法。攻击者打赌您的电子邮件服务器名为"imap.yourdomain.com网站,并测试该服务器是否存在。如果您有一组已知的这些记录,并告诉您的用户使用不同的名称,例如邮件.yourdomain.com",你可能会抓到邪恶的活动。一个缺点是你的用户可能会感到困惑,ddos防御盾,看吧imap.yourdomain.com网站"把你的蜜罐绊倒。伪造的机器人.txt-这是我最喜欢的一个技巧,我已经在我所有的公共网络服务器上使用过了。它类似于假DNS记录,因为您在机器人.txt指向已知"有趣"目录的文件。例如,我喜欢为"/secret"创建一个条目,该条目将转到记录攻击者IP地址的页面。大多数渗透测试人员都会看到机器人.txt并触发警报。暗IP空间-我已经对所谓的"暗"IP地址空间进行了监控一段时间,效果非常好。你所要做的就是路由IP地址空间,这个空间没有被使用。因为没有理由让任何人去你知道的没有使用的IP地址,所以这是一个很好的方法,让人们从外部或内部对网络进行端口扫描。如果内部网络上的主机开始联系从未使用过的IP地址,则该主机很有可能已受到危害。黑暗的IP空间是一个很好的地方指出你的假DNS记录,甚至主机蜜罐系统。蜜罐-蜜罐是观察攻击者行动的一个很好的方法,但是,他们类似于玩火。如果你真的设置了一个蜜罐,一定要确保它不容易被识别为蜜罐,一旦蜜罐被破坏,攻击者可以做的很少。通常,防火墙规则和带宽限制足以保护网络的其余部分。我一直认为,构建一个系统并用自己的强化准则配置它,然后将其用作蜜罐,是测试系统和过程的好方法。出站ACL—渗透测试人员和攻击者最成功使用的技术之一是使用反向连接HTTPS后门。这是很难防范的,因为它是加密的,必须让你的网络运作。然而,这对你的防御是有益的,确保这是你的网络的唯一出路。使渗透试验机使用此方法。如果使用了其他任何东西(如SSH)离开网络,高防cccdn,那么这将被记录下来,并表示有攻击。在每个端口上响应扫描仪-大多数渗透测试人员,有时甚至是攻击者,会对主机或网络执行端口扫描。有几种方法可以配置网络以响应扫描仪,就像每个端口都打开一样。这使得攻击者很难找出真正开放的端口,因此更难攻击服务。结论上面概述的方法将为您提供关于渗透测试人员和其他攻击您的网络的更多信息。这些信息本身是有用的;但是,将数据与其他来源(如入侵检测日志、web服务器日志和一般系统日志)相关联,将有助于您了解攻击者如何获得对您系统的访问权限。攻击性对策将导致攻击者留下痕迹,这将使您能够更容易地检测到他们的活动并作出相应的响应。