来自 DDOS 2021-07-14 03:00 的文章

高防cdn_高防虚拟主机zxhost_限时优惠

高防cdn_高防虚拟主机zxhost_限时优惠

Kippo是我最喜欢的蜜罐之一,因为它非常简单,便携,并且易于使用。它提供了一个非常简洁的功能,允许你回放攻击者通过playlog.py脚本。这是Kippo中一个不太为人所知的特性,它可以让分析人员深入了解攻击者如何与服务器交互,他们运行什么命令,安装了哪些服务,可能是在哪个命令和控制服务器上操作,等等。虽然您已经可以将这些数据拉入logrymethod中,以使用提取的元数据收集重要信息,但观察攻击者的行为则完全是另一回事。此功能有助于确定它是实际的人还是与主机交互的bot。但问题是,这需要时间和精力手动登录到每个蜜罐,针对每个TTY会话日志运行脚本,并查看结果。为什么不自动化这个过程?下面是一个实际攻击的示例,以及在使用Kippo蜜罐的SSH会话中观察到的一些有价值的数据(在本例中,下载了恶意软件负载)。图1:基本C2攻击后活动的Kippo回放从上面的屏幕截图中可以看到,每当攻击者成功地破坏蜜罐时,都会生成一个新的TTY日志文件,该文件与基波.log我们已经把文件放到SIEM里了。因此,实现自动化的最快方法是在蜜罐主机上创建一个小型bash脚本。这个脚本非常简单,它定义了几个环境变量,运行playlog.py脚本,ddos攻击与防御技术的内容,并将脚本的结果输出到单独目录中的文本文件。完成后,下列哪些方法防御ddos,它会将重播的TTY会话日志移到一个单独的文件夹中,修改输出以便在Windows主机上方便地查看,并向SOC发送一封带有附加日志重播文件的通知电子邮件。这个脚本可以在我的forked Kippo存储库中找到,以及其他一些小的附加内容,如下所示:https://github.com/Greg自由和开放源码软件/kippo。图2:Kippo日志重播警报脚本我们可以很容易地将其设置为通过cron运行,cdn节点防御DDoS,但是这样我们就可以对脚本的执行进行有限的控制。由于cron仅限于按设定的计划运行,高防cdn什么意思赵丽颖金婚,这可能会影响文件完整性监视(FIM)通知,并且有时您可能不希望脚本执行。所以,最简单的方法就是使用logrythresponse™. 首先,我们需要设置一个新的FIM策略,对于这个用例,我只是克隆了现有的Linux FIM策略并添加了/opt/kippo/log/tty/目录,将其配置为每10分钟检查一次新的日志文件。图3:文件完整性监视策略更新现在,有了新的FIM策略,ddos防御系统,只要在该文件夹中观察到更改,就会生成一个日志文件。查看日志元数据可以让我们看到可以对哪些属性发出警报。图4:Kippo FIM事件日志详细信息从上面的截图中可以看到,我们可以创建一个简单的高级智能引擎™ (检查上述公共事件、对象和日志源的所有规则…图5:Kippo日志重播FIM警报现在有趣的是,我们需要设置一个SmartResponse™ 每当触发此规则时触发。我们可以使用任何脚本语言来实现这一点,但是为了验证概念,我选择了PowerShell。我们需要做的就是使用Plink对服务器进行身份验证,并通过andrewhollister组装的一个快速PowerShell一行程序远程运行上述bash脚本。命令/cplink.exe文件-宋承宪-i键.ppk-诺根特-m命令.txt$UserName@$TargetHost