1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件,直接过滤掉,减少告警数量
2、一般情况下,真实攻击不可能只持续一次,它一定是长时间、周期性、多IP的进行攻击
用流量监测的安全设备,比如天眼,查看报文,分析报文里和 host 和网站目录路径,查看是否可疑,使用微步查询 host 是否为恶意,使用 wireshark 对数据包深度分析看一下请求的网站路径,源 IP 与目的 ip 地址,host 字段的值以及发包内容等。工具有 wearshark,网站的话微步在线
根据不同的攻击类型进行细分
一、弱口令攻击(当接受到的请求包在username,password等流量中含有admin,root,123456等关键词时,态势感知平台可能会发出弱口令警告)
1、判断此条弱口令是否可以成功登录
查看请求包中的HOST地址和用户名密码,到被攻击网站输入相应用户名密码进行判断。
2、验证登录IP是否为客户自己的IP
如果攻击者的IP属于客户的IP,此时可能是已经有客户机失陷。
3、根据日志查询登录IP是否存在web爆破行为
进行弱口令攻击一般都是使用爆破工具进行高频的爆破,可以根据这点判断是否是恶意攻击行为。
4、爆破行为是否成功,如果成功,成功的用户名和密码是什么
爆破是否成功可以根据返回包的响应体的内容进行判断
5、攻击者IP的其他攻击行为
使用平台的模糊搜索功能,查询攻击者的IP的其他访问流量是否存在其他攻击行为
二、SQL注入
当接受到的请求包在流量中含有select,updatexml等数据库操作语句的关键次时,态势感知平台可能会发出SQL注入警告。
1、通过请求包中的sql语句观察是正常的查询还是恶意注入,并且要注意发送者的IP
请求中有构造的明显的恶意sql语句或者敏感字符(“ ’”,“OR 1=1”,“–+”,“id=-1”)
HTTP请求包中User-Agent中可能出现sqlmap标识 (sqlmap发送的http数据包中的UserAgent包含sqlmap字样)
回显包存在sql查询结果(此刻就代表已经注入成功了)
2、返回数据包里面是否有SQL语法报错等信息
三、文件上传
当接受到的请求包在流量中含有select,updatexml等数据库操作语句的关键次时,态势感知平台可能会发出SQL注入警告。
1、上传常见字段: Content-Disposition,Filename等上传文件后缀为可执行文件后缀
(“.php”,“.phtml”,“.asp”, “er”,“asa”,“.cdx” ,“.htr” ,“.aspx” ,“.ashx”,“.jisp”, “.ispx”)
查询语句:data:”Content-Disposition” AND data:”filename” AND data:(“.php”OR”.phtml”OR “asp” OR “cer” OR “asa” RRhtr” OR”aspx”OR”ashx”OR”jsp”OR”jspx”)
四、命令执行
如果在工作中发现命令执行且成功,此时可能已经失陷。
命令执行一般都是攻击方进行的社工钓鱼或者0day,对于这种情况几乎无妨防御
1、命令执行的payload一般都是打印,所以可以找print来寻找payload,一般数据包中会含有系统命令的存在