网络安全-应急响应

这篇具有很好参考价值的文章主要介绍了网络安全-应急响应。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、概述

​ 应急响应(Emergency Response)是指在发生紧急事件或安全事件时,及时采取措施以减轻损失和影响的过程。在计算机安全领域,应急响应通常指针对网络攻击、数据泄露、恶意软件感染等安全事件的应急处理过程。应急响应的主要目标是通过快速检测、隔离和纠正安全事件,尽量减少安全事件对组织的影响和损失。

二、基本思路流程

收集信息:收集客户信息和中毒主机信息,包括样本。

判断类型:判断是否是安全事件,何种安全事件,勒索、挖矿、断网、DoS等等。

深入分析:日志分析、进程分析、启动项分析、样本分析。

清理处置:直接杀掉进程,删除文件,打补丁,抑或是修复文件。

产出报告:整理并输出完整的安全事件报告。

三、分析方向

1、文件分析

(1)文件变动查询:

find / -mmin -2 (找查两分钟之内文件内容变化的文件)

(2)查询文件最后修改时间:

ls --full-time [文件名]

(3)查询文件哈希值

md5sum [文件名]

2、日志分析

(1)Linux系统日志:

/var/log下的secure、messages日志文件比较常用

cat [文件名]|grep [关键字]|wc -l (统计)

(2)Windows系统日志

此电脑--->右键点击管理--->系统工具--->事件查看器--->Windows日志

3、进程分析

(1)查看CPU或内存资源占用:top

(2)查看进程的路径:ps -ef

(3)查看正在监听的端口和名字:netstat -ntplu

(4)查看开机启动服务:systemctl list-unit-files

(5)查看服务是否在运行:systemctl status [服务名]

(6)计划任务:crontab -l、/etc/cron.d、/etc/crontab

(7)查看文件哈希:

Windows:certutil.exe -hashfile .\1.txt (需要用powershell)

Linux:md5sum [文件名]

4、用户分析

Linux系统

(1)查看用户:/etc/passwd、/etc/shadow

Windows系统

(1)查看用户:net user、注册表中SAM文件查看

5、网络分析

(1)网卡配置信息

/etc/sysconfig/network-scripts

(2)查看DNS

cat /etc/resolv.conf

(3)查看网关:route

(4)查看监听端口和相关服务

6、配置分析

(1)查看Linux SE

cat /etc/selinux/config (查看是否是开机自启动)

getenforce (查看当前状态)

(2)查看iptables

iptables -L

(3)查看环境变量

echo &PATH

7、监控分析

(1)如zabbix等监控工具

四、排查思路

1、Windows木马入侵

排查思路:

1、可能通过网络连接观察异常端口或者IP通信

2、可以通过任务管理器,详细信息,找到异常文件

3、通过网络连接,详细信息找到异常进程文件,使用杀毒软件检测

防御:

1、开启windows防火墙

2、安装正版的杀毒软件

2、Linux服务器22端口入侵

排查思路:

1、排查网页修改时间

2、查看日志,分析服务器登录时间及IP

防御:

1、服务器设置强密码

2、22端口不对公网开放

3、使用堡垒机及指定IP登录

3、Windows系统3389端口入侵

排查思路:

1、查看日志,分析服务器登录时间及IP

2、查看用户是否有异常

防御:

1、密码大小写,数字,字符不低于8位,使用强密码

2、3389如非必须,不开启个人电脑3389端口

3、如开启3389,指定固定IP可连接

4、DNS&DHCP攻击

Windows排查思路:

1、排查电脑本机C:\Windows\System32\drivers\etc\hosts文件

2、重启浏览器,确认是否有浏览器缓存

3、ipconfig /all 查看DHCP服务器及DNS服务器IP是否正确

防御:

1、网络接入认证

2、定期网络扫描,是否有内网IP提供DNS服务

3、交换机上把dhcp Snooping开启,防止非法DHCP服务器

5、ARP欺骗攻击

排查思路:

1、排查arp表

2、对比MAC地址是否有异常

防御:

1、安装ARP防火墙

2、手动绑定MAC地址

3、网络接入认证,拒绝非实名认证设备接入网络

6、DDoS攻击

常见的方法:

CC攻击:攻击者借助代理服务器生成指向受害主机的合法请求,实现DDoS和伪装就叫:CC(Challenge Collapsar),CC主要用来攻击页面的。

SYN攻击:SYN攻击是黑客攻击的手段。SYN洪泛攻击的基础是依赖TCP建立连接时三次握手的设计。

纯流量攻击:发送大量垃圾流量。

排查思路:

1、查看应用日志(CC攻击)

2、查看服务器网络链接(SYN攻击)

3、监控查看网络流量(纯流量攻击)

防御:

1、接入第三方抗DDoS云平台

2、流量清洗文章来源地址https://www.toymoban.com/news/detail-421573.html

到了这里,关于网络安全-应急响应的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全应急响应流程图

    当前,许多地区和单位已经初步建立了网络安全预警机制,实现了对一般网络安全事件的预警和处置。但是,由于网络与信息安全技术起步相对较晚,发展时间较短,与其他行业领域相比,其专项应急预案、应急保障机制和相关的技术支撑平台都还在不断发展中。各政府机构

    2024年02月05日
    浏览(46)
  • 网络安全运维-应急响应篇

    1.1 /tmp 目录 此目录下,任可用户均可读写,因此应关注此目录内容 1.2.1 /etc/init.d 系统服务目录 /etc/init.d/apache2 status #查看服务状态 apache2.service - The Apache HTTP Server      Loaded: loaded (/lib/systemd/system/apache2.service; disabled; vendor preset: disabled)      Active: inactive (dead)        Doc

    2024年02月09日
    浏览(47)
  • 2023年网络安全竞赛——网络安全应急响应Server2228

    网络安全应急响应 任务环境说明: ü 服务器场景:Server2228(开放链接) ü 用户名:root,密码:p@ssw0rd123 1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交; 使用用户名和密码登录系统,如下图 在 Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有

    2024年02月10日
    浏览(37)
  • 网络安全应急响应典型案例集

    本文是学习网络安全应急响应典型案例集(2021). 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露分为外部泄露和内部泄露两种,外部泄露典型如攻击者通过漏洞利

    2024年02月15日
    浏览(38)
  • 网络安全之勒索病毒应急响应方案

    处置方法: 当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。 1. 物理隔离 物理隔离常用的操作方法是断网和关机。 断网

    2024年02月06日
    浏览(42)
  • 网络安全应急响应工具之-流量安全取证NetworkMiner

    在前面的一些文章中,用了很多的章节介绍流量分析和捕获工具wireshark。Wireshark是一款通用的网络协议分析工具,非常强大,关于wireshark的更多介绍,请关注专栏,wireshark从入门到精通。本文将介绍一个专注于网络流量取证的工具NetworkMiner,其视角和wireshark是不同的。 Netwo

    2024年02月03日
    浏览(51)
  • 网络安全从入门到精通(特别篇I):Windows安全事件应急响应之Windows应急响应基础必备技能

    事件发生时的状况或安全设备告警等,能帮助应急处置人员快速分析确定事件类型,方便前期准备。 入侵肯定会留下痕迹,另外重点强调的是不要一上来就各种查查查,问清楚谁在什么时间发现的主机异常情况,异常的现象是什么,受害用户做了什么样的紧急处理。问清楚主

    2024年04月15日
    浏览(57)
  • 【网络安全】3.3 应急响应和事后处理

    当我们谈论网络安全时,我们会遇到各种各样的威胁,如病毒、蠕虫、木马、DDoS攻击等。面对这些威胁,我们需要进行应急响应,以最小化损失并保护我们的网络。接下来,我们将详细讲解应急响应的步骤,并提供一些实例来帮助你理解。 应急响应通常包括以下五个步骤:

    2024年02月08日
    浏览(41)
  • 网络安全应急响应预案培训与演练目的

    1、增强网络安全意识 网络安全事故隐患往往“生成”于无形。例如,漏洞或黑客攻 击发生之时,受害方企事业单位可能处于非常危险的境地而无所察 觉,一些内部部门人员的网络安全意识也容易懈怠。但不论是内部 员工的疏忽还是管理上的大意,都可能给身在“暗处”的

    2024年02月11日
    浏览(49)
  • 网络安全应急响应工具(系统痕迹采集)-FireKylin

    免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!! FireKylin中文名称叫:火麒麟,其功能是

    2024年02月05日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包