女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

【虹科技術分享】ntopng是如何進行攻擊者和受害者檢測

虹科網絡可視化技術 ? 2022-04-24 17:12 ? 次閱讀

在最新的ntopng版本中,為了幫助理解網絡和安全問題,警報已經大大豐富了元數據。在這篇文章中,我們重點討論用于豐富流量警報和標記主機的"攻擊者 "和 "受害者 "元數據。具體來說,當一個流量的客戶端或服務器很可能是一個或多個安全問題的始作俑者時,它就被標記為 "攻擊者"。同樣地,當客戶端或服務器被認為受到攻擊時,它被標記為 "受害者"。對于非安全導向的用例(如嚴重的丟包),受影響/引起該問題的主機仍然以高分值突出顯示,但它們不會被標記為攻擊者/受害者,因為這些詞只用于安全領域。

例如:

在對可疑的DGA域名的DNS請求中,客戶端被認為是 "攻擊者",因為它是這種潛在的惡意請求的發起者。

當檢測到遠程代碼執行(RCE)、跨站腳本(XSS)和SQL注入嘗試時,客戶端是 "攻擊者",而服務器是 "受害者",因為它正被試圖利用其漏洞的客戶端探測/攻擊。

當通過HTTP下載一個二進制/.exe應用程序,假裝它是一個無害的文件,如PNG圖像,客戶端被認為受到了危害,而服務器被認為是惡意的,因為它的來源是可疑的文件,所以兩者都被標為 "攻擊者"。

一個DNS數據滲透警報的客戶端和服務器都被標記為 "攻擊者",因為進行數據滲透需要客戶端和服務器都在運行滲透軟件,如iodine。

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

本文實例

在這篇文章的提醒中,我們分析了Hancitor感染(由Malware-Traffic-Analysis提供的pcap),以證明ntopng及其新的 "攻擊者 "和 "受害者 "元數據在檢測此類安全問題方面的有效性。

Hancitor感染基本上是一個多階段的事件鏈,導致目標主機下載惡意軟件文件,實際上將其變成了威脅者手中的惡意主機。

讓我們看看當我們使用ntpng分析帶有Hancitor感染的pcap時會發生什么。你可以以下列方式啟動ntopng:

ntopng -i 2021-06-01-Hancitor-with-Cobalt-Stike-and-netping-tool.pcap -m "10.0.0.0/8"



37b9ed6c-c259-11ec-82f6-dac502259ad0.png

警報分析

首先,從標題欄可以很清楚地看到有一些可疑的事情發生,因為有成千上萬的流量有錯誤和警告。請注意,被警告的流量的數量可以根據你的配置而變化(見左邊的側欄菜單 "設置"->"用戶腳本")。

37cf058a-c259-11ec-82f6-dac502259ad0.png

點擊紅色的 "錯誤 "標記將我們帶到流量頁面,按照有錯誤的流量進行過濾。通過打開 "狀態 "下拉菜單,很明顯有一些可疑的活動,如幾個可疑的DGA域名請求和2000多個可疑的文件傳輸。

37e8e766-c259-11ec-82f6-dac502259ad0.png

但是,這個頁面不足以了解是否有攻擊正在進行,以及誰是麻煩的來源。當訪問流警報頁面時,這一點變得更加明顯。在瀏覽警報之前,我們可以設置一個過濾器,只看到有 "攻擊者 "的安全相關警報。

37f84594-c259-11ec-82f6-dac502259ad0.png

有了這個過濾器,ntopng只顯示它檢測到的攻擊者的警報。事實上,可疑的DGA域警報開始跳出。“骷髏頭”符號有助于識別 "攻擊者",在這種情況下,就是被Hancitor感染的Windows客戶端主機。

381627e4-c259-11ec-82f6-dac502259ad0.png

如果我們繼續用攻擊者瀏覽警報,我們也會看到成千上萬的可疑文件傳輸警報。對于這種警報,會顯示兩個骷髏頭。事實上,不僅將被攻擊的Windows主機標記為 "攻擊者",而且也會將分發惡意文件的服務器標記為 "攻擊者 "。

383d99fa-c259-11ec-82f6-dac502259ad0.png

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

如何驗證?

但為什么看似無害的文件ga.js的文件傳輸被認為是可疑的?因為在實踐中,這些都不是Javascript文件! 有時,它們只是空文件,有些時候它們是內容不明的二進制文件。只需使用Wireshark提取這些ga.js文件就可以驗證這一點,并證明了ntopng在檢測網絡中發生的這些可疑傳輸方面的有效性。僅僅通過瀏覽這些警報就可以發現其他可疑的文件。這些是下載Ficker Stealer和Cobal Strike的請求。

你可以在 "主機地圖 "中識別攻擊者/受害者(左邊欄菜單 "地圖"->"主機")。

3861174a-c259-11ec-82f6-dac502259ad0.png

因為它們是X/Y軸上的兩個異常值。點擊氣泡,你可以立即跳到主機頁面,看看會發生什么,這在本文中已經討論過。

37b9ed6c-c259-11ec-82f6-dac502259ad0.png

增值功能

最后,值得一提的是,"攻擊者 "和 "受害者 "元數據也可用于主機警報,以發現從事可疑活動的主機,如SYN掃描,或大量DNS或ICMP流量。除了如上所示的實時使用得分外,你還可以長期監測得分,以檢測它何時偏離其預期行為。這是檢測 "軟 "行為變化的必要條件,這些變化不會被上述評分技術檢測到,而是用于發現具有更多攻擊性行為的攻擊者。

ntop產品介紹

388af7c2-c259-11ec-82f6-dac502259ad0.png38a11cbe-c259-11ec-82f6-dac502259ad0.png

虹科提供網絡流量監控與分析的軟件解決方案-ntop。該方案可在物理,虛擬,容器等多種環境下部署,部署簡單且無需任何專業硬件即可實現高速流量分析。解決方案由多個組件構成,每個組件即可單獨使用,與第三方工具集成,也可以靈活組合形成不同解決方案。包含的組件如下:

PF_RING:一種新型的網絡套接字,可顯著提高數據包捕獲速度,DPDK替代方案。

nProbe:網絡探針,可用于處理NetFlow/sFlow流數據或者原始流量。

n2disk:用于高速連續流量存儲處理和回放。

ntopng:基于Web的網絡流量監控分析工具,用于實時監控和回溯分析。

38d9cff0-c259-11ec-82f6-dac502259ad0.png

38e90ab0-c259-11ec-82f6-dac502259ad0.gif


虹科是在各細分專業技術領域內的資源整合及技術服務落地供應商。虹科網絡可視化與安全事業部,憑借深厚的行業經驗和技術積累,近幾年來與世界行業內頂級供應商Morphisec,Apposite,LiveAction,Profitap,Cubro,Elproma等建立了緊密的合作關系。我們的解決方案包括網絡流量監控,網絡流量采集和優化,端到端網絡性能可視化,網絡仿真,網絡終端安全(動態防御),物聯網設備漏洞掃描,安全網絡時間同步等解決方案。虹科的工程師積極參與國內外專業協會和聯盟的活動,重視技術培訓和積累。

此外,我們積極參與工業互聯網產業聯盟、中國通信企業協會等行業協會的工作,為推廣先進技術的普及做出了重要貢獻。我們在不斷創新和實踐中總結可持續和可信賴的方案,堅持與客戶一起思考,從工程師角度發現問題,解決問題,為客戶提供完美的解決方案。

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 檢測
    +關注

    關注

    5

    文章

    4600

    瀏覽量

    92509
收藏 人收藏

    評論

    相關推薦
    熱點推薦

    Nordic測距介紹

    是RSSI和AOA/AOD。 RSSI定位的缺點有,RSSI對室內多路徑環境較敏感,準確性和可靠性容易被干擾。攻擊者操縱 RSSI,通過射頻信號放大,導致安全性不夠。 AOA/AOD定位的缺點是: 高成本器件
    發表于 05-28 16:49

    關稅的影響:蘋果成特朗普關稅最大受害者之一 阿斯麥:對美出口光刻機或面臨關稅

    尚無法量化評估關稅政策的影響,但可以確定的是,長期來看關稅將帶來新的不確定性。 蘋果成特朗普關稅最大受害者之一 蘋果公司已經成為特朗普關稅最大受害者之一;我們且不說美股7巨頭的股價都已經大幅下跌,只說在特朗普放出要“豁
    的頭像 發表于 04-17 10:31 ?477次閱讀

    IP地址偽造和反偽造技術

    IP地址偽造簡而言之就是網絡攻擊的一種手段。攻擊者通過偽裝成合法的IP地址,繞過訪問控制、進行惡意攻擊或竊取敏感信息。 IP地址偽造的基本原理主要是
    的頭像 發表于 12-20 10:12 ?451次閱讀

    網絡攻擊中常見的掩蓋真實IP的攻擊方式

    會將攻擊數據包中的源IP地址替換為偽造的IP地址。 這種偽造不僅讓受害者在回應時無法準確找到攻擊者的真實位置,而且可能引發不必要的誤會和服務濫用。 比如說,在SYN Flood這類攻擊
    的頭像 發表于 12-12 10:24 ?391次閱讀

    藍牙AES+RNG如何保障物聯網信息安全

    KEY 進行一定的逆運算算法,就能獲得加密前的數據 A。因此,在 BLE 連接交互數據時,可以對明文數據進行加密,確保數據的機密性,從而抵御攻擊者。機密性是指第三方“攻擊者”由于沒有
    發表于 11-08 15:38

    鑒源實驗室·如何通過雷達攻擊自動駕駛汽車-針對點云識別模型的對抗性攻擊的科普

    非常精確,它們也面臨一種新興的威脅——對抗性攻擊。 對抗性攻擊是一種通過微小但精心設計的擾動,旨在欺騙機器學習模型的攻擊方式。對于自動駕駛系統而言,這意味著通過對傳感器輸入的數據進行
    的頭像 發表于 11-05 15:44 ?703次閱讀
    鑒源實驗室·如何通過雷達<b class='flag-5'>攻擊</b>自動駕駛汽車-針對點云識別模型的對抗性<b class='flag-5'>攻擊</b>的科普

    星光璀璨,聆聽 OpenHarmony 貢獻之聲

    在第三屆開放原子開源基金會OpenHarmony技術大會上, 我們滿懷敬意地對取得優秀成果的星光OpenHarmony技術俱樂部、星光導師、星光貢獻、星光活動進行了致謝。 他們不僅是
    發表于 10-28 17:09

    何進行電源供應設計

    電子發燒友網站提供《如何進行電源供應設計.pdf》資料免費下載
    發表于 09-09 10:33 ?0次下載
    如<b class='flag-5'>何進行</b>電源供應設計

    DDoS是什么?遇到后有哪些解決方法?

    隨著網際網絡的發達,DDos攻擊手法也變得越來越多元且難以防范,尤其官方網站、線上交易平臺、使用登入頁面皆為攻擊者之首選目標,DDos攻擊讓許多廠商與企業蒙上巨大的損失,那究竟有什么
    的頭像 發表于 08-30 13:03 ?631次閱讀
    DDoS是什么?遇到后有哪些解決方法?

    IP定位技術追蹤網絡攻擊源的方法

    線索我們可以一路追查,最終定位到攻擊源頭。 IP定位技術的工作流程 數據收集 通過網絡安全設備,例如入侵檢測系統IDS/IPS的實時監測與分析,我們能夠捕獲到流經網絡的大量流量數據。這些數據中隱藏著
    的頭像 發表于 08-29 16:14 ?707次閱讀

    IP 地址欺騙:原理、類型與防范措施

    IP地址欺騙是已現在十分常見的網絡攻擊方式,會給個人、企業和國家帶來巨大風險。下文講解IP地址欺騙的本質、工作原理和檢測防范方法。 ? IP地址欺騙是什么? IP地址欺騙是指攻擊者通過偽造IP地址
    的頭像 發表于 08-26 14:04 ?789次閱讀
    IP 地址欺騙:原理、類型與防范措施

    IP 地址在 SQL 注入攻擊中的作用及防范策略

    SQL 注入是通過將惡意的 SQL 代碼插入到輸入參數中,欺騙應用程序執行這些惡意代碼,從而實現對數據庫的非法操作。例如,在一個登錄表單中,如果輸入的用戶名被直接拼接到 SQL 查詢語句中,而沒有進行適當的過濾和驗證,攻擊者就可以輸入特定的字符串
    的頭像 發表于 08-05 17:36 ?540次閱讀

    何進行IP檢測

    排查網絡連接問題,并及時的防范潛在的網絡攻擊。 那么,如何進行 IP 地址檢測呢?接下來我將進行圖示哦~ 使用操作系統自帶的工具 ① Windows 系統中,按win+R,輸入“ipc
    的頭像 發表于 07-26 14:09 ?1065次閱讀
    如<b class='flag-5'>何進行</b>IP<b class='flag-5'>檢測</b>

    淺談PUF技術如何保護知識產權

    使用加密芯片來保護知識產權,對設備進行認證或加密處理,但加密芯片中薄弱的環節在于密鑰。通過暴力剖析、側信道攻擊、逆向工程等方法,攻擊者可以獲取存儲在芯片非易失存儲器中的加密密鑰,從而實現破解。 針對
    發表于 07-24 09:43

    如何保護SCADA免受網絡攻擊

    隨著信息技術的飛速發展,數據采集與監視控制(SCADA)系統在工業控制領域中的應用越來越廣泛。然而,由于其重要性日益凸顯,SCADA系統也成為了網絡攻擊者的重點目標。為了保護SCADA系統免受網絡攻擊,需要采取一系列的安全措施和
    的頭像 發表于 06-07 15:20 ?850次閱讀