网络钓鱼
诀窍
选好钓位,选准钓饵,备好钓具,练好钓具 行为特征
各式各样的欺骗邮件带附件 成本
时间和耐心0Day,不愿也上钩
人肉
方法
无线网络攻击
窃取接入密码流氓AP攻击 直接物理攻击
成功应聘某个岗位,直接攻击企业内部 成本
物理上接近目标器材 应对方法
管好无线
Radius 证书 双因素 隔离
无线用户使用独立的网络,不接入办公网Client lsolation 防止流氓AP
员工私自安装的AP:禁止安装黑客安装的AP(airsnarf):隔离 做好应聘人员背景调查
渗透
黑客思路:在扎根、扩大权限的同时找东西攻击方式
扫描端口,漏洞,弱密码和共享破解密码并尝试登陆安装不同的后门网络欺骗 攻击成本
工具:扫描,数据分析,文件查找,密码破解,后门时间:太快容易被发现,太慢也容易被发现 应对方法
应对扫描和密码破解
Ip地址一对多,目的端口相对固定数据包行为短时间内大量重复 后门
后门的分类和部署方式
按公开程度分:私有、小范围公开和完全公开私有、小范围公开和完全公开按协议分:UDP TCP ICMP FTP SMTP HTTP按行为分:正连(被动)和 回连(主动)按性质分:干活用,尽量方便;回生用,尽量隐蔽。BIOS,引导区公开私有混合部署,多种协议混合部署;正连回连混合部署;大量干活,少量回生 检测后门
行为检测协议特征监控响应 应对欺骗
欺骗的类型
ARP欺骗:MAC-IPCAM欺骗:MAC-PORT 行为特征
大量ARP包元素对应关系变化频繁 应对方法
Arp监控Cisco Port Security.•划VLAN禁共享,监控扫描、破解、欺骗和后门
收货
行为分析
收货:黑客从办公网下载数据的过程收货的方式
用后门直接下载用邮件发送结合包转发程序用HTTP/FT[+Socks多线程下载(HTran) 行为特征
超长连接Socks4/5协议持续大量PSH-ACK 应对收货
Panabit 监控主机流入流出的流量监控长连接、Socks和上传流量
炒鸡辣鸡原创文章,转载请注明来源
