来自 网络 2021-10-13 20:21 的文章

ddos盾_云盾ddos监控网站_限时优惠

ddos盾_云盾ddos监控网站_限时优惠

1995年,我完成了我的第一个独立咨询项目:纽约市一家重要金融机构的事故应对。从那以后,这段经历告诉了我对归属的态度,因为这是我参与过的罕见事件之一,当时我们非常确定地知道了袭击者的身份和位置。攻击者正在访问与该机构的X.25连接,猜测到其中一台Unix主机上的帐户/密码对,高防cdn举报会死吗,然后登录并开始四处查看。他首先被一个系统管理员发现了,他发现了一些不寻常的事情:一个通常不登录的服务帐户被登录,运行telnet命令。一个事件响应小组已经集合起来,我们开始绘制出发生了什么,攻击者在做什么,以及何时发生了闯入事件。这家金融机构非常幸运,因为系统管理员的观察力如此敏锐:这次攻击是在首次闯入的头3天内被发现的。系统活动日志没有我们想要的那么完整,但似乎攻击者正在使用X.25连接作为进入Internet的跳转点;黑客已经通过远程登录到网络上的各种系统。当时,我们只知道这些。因为telnet是攻击者最喜欢的工具,所以我下载了telnet的BSD源代码,并创建了一个将所有击键记录到一个文件中的版本,这样我们就可以监视他的行为。我们看到他使用FIELD/"service"默认帐户闯入多伦多的VMS系统,并打电话给那里的管理员,linux如何防御ddos攻击,让他们知道他们有问题。第二天,软件防御ddos,当他再也无法进入VMS系统时,我们有了一个惊人的运气:我们的攻击者远程登录到加利福尼亚州的一个公告板系统中,并创建了一个客户帐户,其中似乎包括一个真实的姓名、地址和电话号码。记住:这是1995年。显然,我们的袭击者甚至在1995年的时候也不成熟。电话号码在英国伦敦地区。我们找了一个办公室临时工打电话给我们的攻击者,ddos云端防御,告诉她是布告栏系统的支持专家。她说,他是第一个从英国报名的人,他们想让他知道,他们立即免费将他晋升为金牌。这家伙在电话里听起来很不错。为了准确地确定归属,你需要证据和理解然后我们开了一个长时间的会议,想知道如何对付攻击者,我的委托人从伦敦办事处派了一对律师到袭击者的公寓,与我们的黑客和他的母亲聊天。黑客承诺会有一个新的爱好,服务帐户上的密码被更改了,事件就此结束。建立归因的四个要求这是一场完美的归因风暴。但证明归属通常不是那么容易的。为了准确地确定归属,你需要证据和理解:有证据表明嫌疑犯与袭击有关对攻击者行为的理解,支持证据从其他系统收集的与攻击者行为理解相符的证据对袭击过程中事件顺序的理解,与证据相符除了攻击者签署的、经过公证的供词外,你必须收集足够的关于攻击者所做的事情的信息,以证明你至少和他一样理解他所做的事情,这样才能准确地再现事件。最关键的是,在这一系列事件中必须有指向特定攻击者的东西。让我们根据我刚才描述的事件来考虑这些需求。收集到的有关攻击的数据源越远,就越难准确地确定其属性。有了袭击者的地址和电话号码,通过一个电话录音来证实,这和我们大多数人得到的签名、公证的供词一样接近。否则,请记住这一原则:您收集的攻击数据源越远,阿里ddos防御,就越难准确地确定其属性。成为门户在伦敦黑客事件中,我们实际上是他的互联网网关,而且非常接近他的流量来源。如果我们在多伦多的VAX/VMS系统上,就很难重建攻击者的行为,因为他的来源地似乎是新泽西州的一家经纪公司,而不是来自伦敦的X.25连接。VAX/VMS系统上的安全分析员可以确定攻击者在该系统上的操作,并且可能仅限于联系其他几个VMS系统管理员,提醒他们更改默认密码。如果你读过《布谷鸟蛋》(The Buckoo's Egg),克里夫·斯托尔(Cliff Stoll)1989年对一次黑客事件的描述,你会了解到一个黑客,他在潜行方面付出了更多努力,但他使用了一种类似的方法,使得回溯更加困难。他用卫星系统拨入目标地点的调制解调器,这样一旦发现他,就可以假定他是本地来电者。当然,现在情况有所不同,但问题仍然是一样的:许多攻击者会通过几个服务"清洗"他们的连接,意图是跨越管理域,使其更难回溯到它们。自从互联网成为一种全球现象,德克萨斯州的攻击者就有可能通过韩国的一个受损系统连接到洋葱路由器,然后再连接到目标。典型的回溯要想成功,分析师必须在韩国的系统中工作,或者拥有国家级的能力来攻击洋葱路由的流量混淆。在德克萨斯州的星巴克或是一家有着开放式无线网络的酒店,总有可能是回头路。现在,黑客攻击已经成为国家安全和关注的问题,只有最不熟练的黑客才会在自己的基地发动重大攻击。像"Pwn-Plug"这样的高级工具可以很容易地建立一个难以确定属性的连接,从中可以清洗更多的流量。这就引出了另一个原则:攻击者的工具和技术与归属无关。工具无关紧要如果仅仅因为伦敦黑客使用telnet,或者因为他的作案手法是使用默认密码,就宣布他是其他攻击的来源,那我们就太愚蠢了。在那些日子里,每个人都很成功地使用了默认密码。快进到2014年,你不能根据某人使用恶意软件或特定版本的恶意软件来确定攻击的属性,除非很明显攻击者是故意试图签署他的作品。一个在自己作品上签名的黑客天生就更可疑,因为他实际上已经不遗余力地建立了某种表面身份;保持匿名比展示身份更容易。此外,如果黑客想要提供一个特定的身份,他们可以(而且经常这样做)留下一张电话卡,或者在Twitter上发布高度匿名的评论,链接到显示他们是谁的数据缓存。攻击者的工具和技术与归属无关。这又回到了"从其他系统收集到的证据与对攻击者行为的理解相匹配"的要求。如果您想将数据入侵归因于特定的黑客团队,则必须有日志显示数据何时被过滤,并且数据与发布的数据相同。我们采取的行动与袭击者的推测一致。我担心的一件事是试图根据所使用的工具来确定黑客攻击的属性。这就好比说一个闯入某个特定房子的窃贼一定是弗雷德猫贼,因为弗雷德用的是撬棍,而闯入也是用撬棍完成的。你不能根据这些不可靠的证据来判定弗雷德有罪,但我们最近看到的恰恰是这样一种说法:索尼的黑客攻击是由朝鲜赞助的,因为所使用的工具与朝鲜发动的攻击中使用的其他工具相似。这是一个双重的失败,因为第一次袭击归因于朝鲜,也是基于相当薄弱的归因。下周:在第2部分中,我将解释弱归因的概念,并讨论成功归因的第四个要求。