来自 网络 2021-02-20 19:06 的文章

海外cn2高防_怎么防御_棋牌游戏防止cc攻击

海外cn2高防_怎么防御_棋牌游戏防止cc攻击

作为XenApp和XenDesktop的安全产品经理,我经常会遇到这样一个问题:"在使用citrixxenapp或XenDesktop托管的应用程序后,ddos防御在哪层,客户端会留下什么信息?"这通常发生在PCI DSS和HIPAA审核中,问题通常是审核"范围"之一答案是没有屏幕或键盘数据被写入持久端点存储这篇文章详细描述了写入端点的小信息,并描述了再现研究的技术。带XenApp和XenDesktop的PCI DSS和HIPAA在托管的XenApp和XenDesktop计算机上运行应用程序,只有那些驻留在数据中心的托管计算机才能看到受保护的网络和数据库,并且最终用户没有到数据库的网络连接,这大大减少了"范围"。安全评估可以集中于潜在的"高损失"领域,而对端点计算机的关注度较低。NetScaler网关模块ICA Proxy提供了网络的分离,只有ICA/HDX流量才能通过网关。最终用户机器与主机XenApp或XenDesktop计算机没有IP网络连接,更重要的是,最终用户计算机与保存信用卡或患者数据的数据库服务器没有IP连接。屏幕和键盘数据被包装在TLS内部,在其进出网关的路径上,因此在主要公司网络上暴露的风险很小。这是安全方面的巨大胜利。但审核员必须量化和研究端点数据丢失的潜在风险,这包括对通过"泄漏"从端点计算机的持久客户端存储丢失的潜在数据进行研究。什么数据"泄密"?攻击者是否可以稍后研究端点计算机并恢复PCI或HIPAA数据?这篇文章的其余部分都是关于血淋淋的细节。什么"泄漏"到端点?Citrix Receiver中有几个客户端组件,它启动程序,获取已发布应用程序的列表,并使用户可以使用图标来启动托管应用程序和桌面接收器.exe作为本机接收器,最终,所有这些"启动器"都会启动一个名为WFCRUN32.exe的程序,该程序本身启动HDX引擎或艺术家,正式名称为ICA客户端(wfic32.exe)。这是我们今天讨论的最后一个部分。这是将服务器屏幕内容显示为如果程序在本地运行,并将客户端键盘和鼠标重定向到主机XenApp或XenDesktop系统。在回答"什么泄露"这个问题时,一个复杂的问题是,任何真正具体的问题的答案都必须根据特定的时间点或产品版本来衡量。程序员改变了一切!他们不经常这样做,而且大多数时候一切都是原样的,但偶尔事情的列表会发生变化,这会让安全人员担心做出大的声明。例如,下面详细介绍一下CEIP数据。它是故意这样做的,ddos攻击的防御策略是什么,但是对于安全人员来说,在发送回家之前在端点上存储匿名使用数据是一种漏洞。这不是一个严重的漏洞,但从安全角度来看,这是一个漏洞,这在几年前并不存在。今天我用2017年5月3日win32hdx引擎(wfic32.exe)版本14.8.0.369绘制"什么泄漏"图表。这可能是一个发布的版本,碰巧是在我的主桌面计算机上运行的版本。在下面的几页中,我提供了我用来查看"泄漏"的技术,所以希望在将来,除了我以外的人可以进行未来的测量…从前,我以写代码为生安全部经理,是的。今天,我回到我的应用程序虚拟化的传统,app防御ddos,以及20年来编写设备驱动程序的经验。除去一些旧的技巧,我们可以剖析客户端可执行文件,并观察它在运行时做了什么。请注意,这些都不需要访问源代码,甚至不需要反汇编——我们只需运行程序并观察它的工作。步骤1–过程监控来自SysInternals的进程监视器是一个令人难以置信的软件。它监视并记录机器上的所有文件系统和注册表活动。在这里下载。从管理员权限,运行procmon.exe程序告诉引擎(wfmon.exe)的活动。此时该进程尚未运行,但当您启动一个托管应用程序或桌面时,该进程将被执行,procmon将捕获它所做的与磁盘和注册表相关的所有操作。这是过滤器配置。点击"reset"将过滤器状态重置为默认值,然后添加一个规则来跟踪wfic32.exe进程所做的事情。步骤2–启动托管应用程序或桌面在我的例子中,启动了Notepad++作为一个发布的应用程序。它启动,运行,看起来很高兴,然后我关闭了它,这终止了会话并最终杀死了wica32.exe。当托管会话运行时,进程监视器捕获了大量信息!更有效的版本将定义许多过滤器,告诉procmon只监视写操作。我没有这么做,我希望看到应用程序对文件系统和注册表所做的"所有事情",然后手动将其筛选为只"写入"的内容。第3步–告诉Process Monitor我们已完成捕获按Ctrl-E停止捕获,或单击"文件"、"捕获"取消选中捕获模式。在进程监视器内部,服务器防御ddos攻击,我们需要比默认显示更多的信息包括事件、监控细节除了路径之外,这还包括所需的访问、"读"或"写"信息看看捕获的数据这是一个开始的屏幕截图。第四步-把这些过滤到我们能理解的范围内告诉Process Monitor将数据保存到CSV文件"所有事件"! 启动Microsoft Excel打开文件,浏览,打开上面的CSV文件。加载为逗号分隔的文件。得到这个吗在研究泄密时,时间栏是无趣的,所以我们删除它。我花了一分钟的时间来观察我的应用程序的启动,并花了一分钟的时间来观察它的运行。今天不需要。进程名和PID(进程ID)始终相同。所以,我们也删除这些列。最后,第一行有标题,这是我们不需要的,所以删除它,我们得到一些更易于管理的东西。它仍然有65579行描述每个文件系统和注册表访问,所以它还不是很好,但我们走在正确的轨道上。我们关心写作!我希望excel可以用来隐藏所有的读取,但我更喜欢GREP,所以我们需要将工作表移动到文本文件中。将此版本的电子表格另存为.xlsx。将该版本复制到备份中…将工作表保存到.csv文件并加载到您最喜欢的文本编辑器中。进行一些更改,替换以将逗号转换为大约30个空格,并将所有60K行中的列对齐,以使数据美观有序。这样做可能不需要,但对我来说,微软云防御ddos,数据更易于查看,即使使用记住的键模式,这花了大约20分钟,非常乏味。我们只关心"写作"当寻找从服务器到客户端的潜在信息时,我们只关心写入客户端的信息。进程监视器捕获所有文件系统和注册表操作。我们需要去除所有被阅读的条目,而绝大多数条目都是被阅读的。最左边的列列出了捕获的所有"操作"。如果是文件或注册表写入,我们在乎!如果是阅读,我们不在乎。仍然在excel中,将"操作"列的内容复制到文本文件中,例如。未排序.txt然后把所有重复的东西都分类处理掉。排序 已排序.txt统一已排序.txt> 唯一操作.txt上面的工具:sort来自Windows,uniq来自GNUTools。现在有一个已执行的所有操作的列表,但它是一个包含每个操作类的一个条目的最小列表。我错过了这一步,但绝大多数都是阅读。我们现在有了所有行动的清单。问题是,它"写"了吗,不写的地方,我给列表加了个"删除"标签。关闭文件删除创建文件书房CreateFileMapping删除加载图像删除锁文件删除进程退出删除查询属性信息卷删除查询属性标记文件删除查询基本信息文件删除查询目录删除查询信息文件删除QueryFullSizeInformation卷删除查询信息卷删除查询名称信息文件删除查询打开删除QueryRemoteProtocolInformation公司删除查询安全文件删除查询信息卷删除查询标准信息文件删除查询流信息文件删除读文件删除RegCloseKey删除RegCreateKey书房RegDeleteKey书房再生键删除再生值删除正则键删除雷格雷基删除RegQueryKeySecurity删除RegQueryValue删除RegSetInfoKey书房正则值书房设置基信息文件书房设置处置信息文件研究-文件擦除SetEndOfficeInformation文件研究-设置文件大小TCP连接删除TCP断开连接删除TCP接收删除TCP发送删除TCP TCP复制删除线程创建删除线程退出删除解锁文件单删除蓝色代码书房将工作表(所有捕获的事件)导出到文本文件(例如。编辑.txt)然后重复执行下面的操作,过滤掉所有读取的捕获事件。findstr/v"关闭文件"编辑.txt> 温度文本复制/y温度文本编辑.txt对上面列出的每个"删除"项重复上述操作注意,捕获文件中记录的内容(编辑.txt)它们是如何发生的。这有助于我们理解当给定的写入发生时程序在做什么。好吧,我们找到5336件了。Windows安装程序发出的噪音剩下的5212个条目是RegSetInfoKey。Windows安装程序的一堆垃圾。这个API的文档不是很好,但似乎设置了regis上的最后一次访问时间