小蓝xlanll

这个屌丝很懒，什么也没留下！

热门标签

攻防概述_用时间戳判断恶意攻击

作者：小蓝xlanll | 2024-05-17 01:34:59

踩

用时间戳判断恶意攻击

网络攻击链

情报收集

调查研究/探测/网络扫描/漏洞挖掘/社会工程学

工具准备

准备攻击工具,如木马/后门/蠕虫等病毒, 攻击负载等

载荷投递

直接渗透

间接:钓鱼

社工

漏洞利用

诱惑用户点击

本地代码执行

释放载荷

创建局点

内部扩散

自动的重复上面几步

建立通道

控制服务器通信, 接收指令

目标达成

破坏

数据窃取

DDoS

垃圾邮件

挖矿

内部扩散(自动)

简化的网络攻击链

目标侦察

准确识别目标，收集目标详细信息，比如网络、邮箱、员工、社会关系、对外提供服务、漏洞信息等，为后续攻击做准备。

边界突破

突破边界防护，获取跳板，通过各种手段突破边界，如应用攻击、邮件钓鱼、水坑攻击、U盘摆渡等，开始进入真正的攻击阶段。

横向攻击

步步为营，以被控服务器为跳板，综合利用各种漏洞和攻击手段获取内网其他服务器权限，渗入受限制区域，逐步抵达精确目标服务区。

目标打击

精确打击，根据攻击目的对目标实施打击，如释放勒索病毒、挖矿木马、窃取资料、恶意破坏等。

目标信息收集

常见信息收集内容

公司基本信息收集

邮箱收集

员工信息收集

子域名信息

对外提供服务的应用

可能被利用的漏洞

已经泄露的公司内部信息

网络探测

地址扫描

攻击者运用ICMP报文探测目标地址，或者使用TCP/UDP报文对一定地址发起连接，通过判断是否有应答报文，以确定哪些目标系统确实存活着并且连接在目标网络上。

端口扫描

攻击者通过对端口进行扫描探寻被攻击对象目前开放的端口，以确定攻击方式。在端口扫描攻击中，攻击者通常使用Port Scan攻击软件，发起一系列TCP/UDP连接，根据应答报文判断主机是否使用这些端口提供服务。

Superscan

Nmap

应用扫描

通过模拟想应用发送请求，分析web应用响应载荷，从而发现安全问题及架构缺席。

Burp Suite

漏洞扫描

通过漏洞扫描工具，发现系统及应用、主机等存在的漏洞。

Sparta

网络架构

Tracert报文攻击

带路由记录项的IP报文攻击

带源路由选项的IP报文攻击

带时间戳选项的IP报文攻击

钓鱼攻击（Phishing）

钓鱼攻击是指利用伪造、欺骗、社工等手段获取被害人信任以实施进一步攻击的手段。多用作边界突破的手段，且在APT攻击中出现频率较高

钓鱼攻击分类

鱼叉式网络钓鱼
水坑攻击
U盘摆渡
同形异义字钓鱼攻击
路过式下载
误植域名（假URL）
网站仿冒
网络交友诈骗

口令破解

可被攻击的应用

rdp、smb 、ftp 、ssh、http 、ldap 、pop3 、redis、snmp 、telnet 、vnc

常见破解字典

密码/用户名 top100
常用中文名拼音
个人信息特征组合
大字典破解

网络欺骗及监听

网络欺骗及监听常见攻击手段

arp攻击
ip欺骗
Tcp会话劫持
dns欺骗
smb中间人攻击
中间人伪造ssl证书攻击

溢出类攻击

常用漏洞编号：

ms06-040

ms08-067

ms10-087

ms11-021

ms12-020

ms17-010

cve-2017-8750

cve-2017-11882

病毒类攻击

病毒分类

木马程序

蠕虫病毒

脚本病毒

文件型病毒

破坏性程序和宏病毒

拒绝服务攻击DDOS

常见攻击：

syn flood
ack flood
udp flood
cc攻击
反射放大型ddos
ntp反射攻击
dns反射攻击
ssdp反射攻击
memcached反射攻击
慢速ddos
thc ssl dos

APT(Advanced Persistent Threat)攻击

APT包含三个要素：高级、长期、威胁。

高级体现在两方面

技术层面

零日漏洞
渠道加密

投入层面

信息的全面收集
有目标，有分工
多种攻击方式的结合

APT攻击流程

APT攻击方式

安全防御方法

协议识别（SA）

SA（Service Awareness）是一种通过对IP报文进行分析的方式判断出IP报文所属的应用的技术，并将所有协议识别的规则汇总形成SA-SDB。SA-SDB和SAEngine配套使用对网络中的流量进行协议识别，设备根据识别的结果对网络流量进行分析，可生成流量报表或对流量进行相应的控制策略，如放行、限流和阻断等；是安全、内容检测、内容计费、业务控制等业务的基础。