ddos防御攻击_防网站ddos_快速解决

我曾经看到一条引语（或者一条推特），上面说：“看，你想不想拥有一个防御性的网络？”多年来，这句话一直萦绕在我的脑海中，因为它基本上是这样问的（不到140个字符），“你是否拥有正确的技术、优势、流程、程序、培训、高管支持、人事、政策、控制、日志等，以应对挑战，保护自己？”我们可以做很多事情来降低成功的网络钓鱼攻击的影响。但与信息安全领域的所有事情一样，我们无法完全消除风险，ddos防御平台，因此，积极制定有效的应对策略非常重要。那么，如果您怀疑或知道您的组织遭到了成功的网络钓鱼攻击，您该怎么办？这是我们列出的14件事情，你需要做的事情：1启动IR程序你有事故应对计划，对吗？你做了一个红外桌面来测试事情进展得有多顺利，对吧？在你确认你正在处理一个真实的事件之后，画出阴影，拿起剧本，然后点比萨饼。你需要弄清楚事件发生的人、事、时、地，以及告诉家人你认为你第二天会回家的时间。2获取带有完整邮件头和任何原始附件的电子邮件副本确保收到带有完整邮件头、显示路由信息等的仿冒电子邮件。在Outlook中，您必须查看邮件的属性才能查看所有电子邮件路由信息。记下消息来自的IP地址。在大多数情况下，它将来自某种类型的受损机器-要么是终端用户的桌面充当邮件的机器人，要么是来自受损或易受攻击的服务器。不管怎样，掌握所有这些信息都会有帮助。三。在网上搜寻威胁情报有很多威胁情报和查找网站。将任何URL、附件等带到网站或者其他沙盒和查找网站。（我个人喜欢。)把域、IP等带到像IPVoid.com网站. 谷歌的IP，主机名，网址，文件等，你看到的。但要小心，不要真的去恶意网站。如果您将IP粘贴到浏览器中，它会将其更改为URL并转到IP。这很尴尬（而且可能很危险）。相反，将IP地址加引号，以确保您的浏览器知道您只是在搜索4与点击器交谈这是一个很简单的步骤，抗ddos设备价格，有时会被忽视。不要回避最终用户！询问任何和所有的点击器发生了什么，他们看到了什么，以及他们在与菲什互动之前或之后是否注意到任何奇怪或不合适的地方5调整外围电子邮件筛选器以阻止类似邮件为了防止其他用户成为同一攻击的受害者，请在电子邮件中查找可以过滤的属性。在某些情况下，From、Subject和其他字段可能会更改。找一些能保持静止的东西。基于regex的黑名单显然不是一个长期的解决方案，但在短期内它可以帮助阻止任何其他消息进入。6开始搜索内部系统搜索您的防火墙日志，从电子邮件、URL、附件等中查找所有可疑的ip地址、URL等，以查看是否有任何流量离开您的网络流向这些ip。请记住，一些攻击者命令和控制域每隔几分钟就会更改其IP。因此，您需要搜索您的DNS日志（您正在记录所有DNS请求，是吗？）看看你的网络上有没有主机查过它们。请记住，您可能还需要搜索DHCP日志，以查看发生DNS查找时哪个工作站拥有IP。（你确实有DHCP日志，对吗？）。使用Splunk或Elasticsearch/Logstash/Kibana（麋鹿）。 7查看代理或出站web日志如果您使用诸如BlueCoat、WebSense之类的代理，那么搜索日志以查看是否有其他用户访问了该站点或其他指示url。或者，如果您记录所有出站防火墙请求，请检查运行站点的服务器的IP地址。想了解有关网络钓鱼攻击的更多信息吗？下载我们的钓鱼状态报告。8查看邮件服务器日志通过搜索邮件服务器日志来查看哪些用户收到了邮件。如果可能，搜索邮件ID、源IP、发件人、主题、文件附件名等。9查看DNS日志记录DNS流量不再困难。在BIND中启用DNS日志也不难。启用后，您可以将这些日志导入Splunk，然后对它们运行查询，ddos防御收费，以查看哪个主机对您找到的任何恶意域进行了查找10确保保留日志没有任何东西可以阻止调查，就像完全缺少关键日志一样。确保您的DNS、DHCP、防火墙、代理和其他日志不会轮流关闭。根据事情的进展情况，您可能需要保存这些日志，并以一种在法庭上站得住脚的方式处理它们。你的IR计划应该解决这个问题。11以伊特拉姆·伊曼纽尔曾经说过的一句话为例：“你永远不会让一场严重的危机白白浪费掉。我的意思是，这是一个机会去做你认为你以前做不到的事情。”下次当你处理一个成功的网络钓鱼攻击时，记住这句话，并利用这一事件来提高管理层和用户的安全意识。毕竟，高中在毕业舞会期间把失事的汽车放在校外是有原因的。它击中了家，因为它是可关联的；那些被迫面对一种可能性的人常常忍不住想，“那可能是我！”但要小心行事——你不想让用户觉得报告某件事会导致职业上的尴尬。12清理作为一般的经验法则，你需要改变受影响用户的密码-即使你很确定没有发生什么严重的事情。为什么？因为你永远无法百分之百地保证受害者没有完全受到伤害。如果用户的凭据（特别是用于远程访问的凭据）被破坏，攻击者可能会回来使用合法的访问方法，如OWA或VPN。更改密码后，请在事件发生前和发生后的一段时间内检查任何受影响的用户帐户的活动13检查受影响用户的活动会话攻击者常用的技术是利用合法的访问方法（如VPNs和Citrix）在网络中保持存在并过滤数据。在攻击之后，收集受影响用户的列表并检查以确保没有任何不应处于活动状态的当前连接你确实有每种远程访问方法的列表，不是吗？ 14训练你的用户成为“聪明的怀疑者”积极主动！你有没有收到过一封邮件，觉得“这件事有点不对劲……”？我们这些在安全领域工作的人喜欢说我们有“infosec蜘蛛侠的感觉”，但我们并不是一夜之间得到的；这是一种我们长期被动积累起来的技能。如果不是巴甫洛夫式的响应，而是点击收件箱中的任何东西，你的用户会暂停500毫秒，然后“等一下……这会是钓鱼吗？”利用网络钓鱼测试和安全意识培训。这是可以做到的！相信我们，我们是这方面的专家。 注：本文来源于ThreatSim®博客。ThreatSim于2015年10月被Wombat Security收购。