来自 CC防护 2021-07-18 05:16 的文章

高防_cdn能防ddos么_精准

高防_cdn能防ddos么_精准

Halo文件完整性监控(FIM)从2月份开始作为测试版功能提供。虽然我们之前已经为有经验的FIM用户发布了信息,但在这个博客中,DDOS防御技术发展现状,我想备份一下并解释一下FIM的基础知识。我将讨论它是如何工作的,以及如何利用它作为强大的安全性功能。监控文件更改在许多环境中,在某些文件被修改时发出警报是很重要的。例如,如果对根帐户的访问权已更改,可能会向不应接收该帐户的帐户授予高级访问权,则可能会通知您。监视文件更改的最明显的参数是"文件大小"和"日期/时间戳"。如果这些参数发生更改,则表明文件已被修改。问题在于,熟练的攻击者知道如何调整这些值,以便它们的更改不被发现。因此,我们需要的是一种可靠的方法来检测不容易的文件更改被愚弄了。哈辛哈辛是一个我们可以用来确定文件何时发生更改的过程。哈希算法只是一个数学公式。它可以获取文件的内容,执行一些计算,然后输出为固定长度的字符串。输出字符串的长度由您使用的哈希算法决定。然而,重要的是,无论输入的文件大小,输出的长度总是相同的。因此很有用,因为我们总是可以指望哈希是一个特定的大小,即使我们是哈希不同的文件长度。另一个散列的一个重要方面是它对变化非常敏感。即使我只是在一个文件中添加一个空格字符或者改变一个字母的大小写,得到的哈希值也会发生巨大的变化。这意味着,cc可以被防御吗,如果攻击者对文件进行任何更改,对更改前后的哈希进行比较将检测到修改.散列让我们看几个例子,这样你就能明白我的意思了。我们将使用SHA-256,与Halo FIM使用的哈希算法相同。SHA-256输出一个256位的散列,我们可以用来比较。我将使用的工具是"sha256sum",它是大多数Linux的常用工具分配。首先,让我们从创建一个简单的文件开始:$echo这是一个测试文件。这只是一个测试。>试验-文件.txtNow让我们让sha256sum处理文件以生成散列:$sha256sum test-文件.txt7e6ca124362a1cd9a4af371f87eb77209c6673d0ba05ba6d64cb7ce7704b8a91测试-文件.txtWe现在将存储此哈希值以供以后比较。如果正在处理"文本-文件.txt"使用SHA-256产生相同的哈希值,我们知道文件没有更改。如果不同,我们知道我们有问题。下一个我要编辑文件做一个小的改动。我将把"It"中的"I"改为小写字符。然后,我将通过sha256sum运行该文件,以查看是否创建了不同的哈希值:$vi test-文件.txt$cat测试-文件.txt这是一个测试文件。这只是一个测试。$SHA256总和测试-文件.txt14f7e5845f66e18d0cf23e4caa7926f6430320937a783b88f03a959b110744be测试-文件.txtNote得到的哈希值大不相同。所以即使是一个小的改变(单个字符的大小写改变)也会导致一个非常不同的哈希值。让我们再试一次。这次我将在"test"中的"t"和句点之间添加一个空格字符:$sha256sum test-文件.txt14f7e5845f66e18d0cf23e4caa7926f6430320937a783b88f03a959b110744be测试-文件.txt$vi测试-文件.txt$cat测试-文件.txt这是一个测试文件。这只是一个测试。$SHA256总和测试-文件.txtdd143c4dda4b7c3d9a63526d5cc4b9ab7756999b139bb8d9a78844be7d228f8a测试-文件.txt同样,注意哈希中的戏剧性变化价值。怎么光环FIM工作光环职能指令手册的工作方式与我们上面所做的类似。当指定要使用FIM保护的文件时,Halo将退出并为每个文件生成256位的哈希。然后,这些散列值存储在网格上,以供以后比较。然后Halo将定期返回,以验证每个指定文件的哈希值没有更改。如果有,FIM将生成一个安全事件,您可以选择将其转换为警报。散列与大多数安全技术一样,ddos攻击以及防御方法,散列也有其局限性。首先,美国高防cdn代理,哈希可以告诉您文件已更改,防御cc是需要硬件防火墙吗,但不能告诉您文件中的哪些内容已更改。你需要对文件的备份做一些调查工作才能弄清楚。此外,散列不能确定更改是否真的构成威胁。例如,假设您散列一些二进制文件,然后再应用修补程序。补丁可能包括这些二进制文件的新版本。是的,二进制文件已经改变了,但这实际上是一个特性。由您来决定哪些更改是由于正常的修补造成的,哪些是妥协的迹象。