餐饮团购网站建设,个人如何开发微信小程序,100个创意营销广告语,服务外包在很多的场景下#xff0c;会需要根据数据包判断数据包中存在的威胁。针对已有的数据包#xff0c;如何判断数据包是何种攻击呢#xff1f;
方法一可以根据经验#xff0c;对于常见的WEB类型的攻击#xff0c;比如SQL注入#xff0c;命令执行等攻击#xff0c;是比较容…在很多的场景下会需要根据数据包判断数据包中存在的威胁。针对已有的数据包如何判断数据包是何种攻击呢
方法一可以根据经验对于常见的WEB类型的攻击比如SQL注入命令执行等攻击是比较容易判断的。但是威胁的变化千变万化比如挖矿的流量特征特定工具的特定特征往往没有深入的研究对比很难第一时间做出判断。
方法二将数据包导入特定的网络安全厂商设备但是这些设备往往是商用设备一方面需要收费另一方面商业的设别往往会兼顾误报和告警的平衡所应对的场景考虑比较的复杂也难免出现漏保。
这个时候安全分析师如果构建本地的流量分析工具在次基础上不断的积累则能够按照自己的需求形成得心应手的兵器。目前安全行业针对流量威胁发现主要包含三个引擎分别为suricatasnort以及zeek。其中suricata和snort偏向于已知威胁的发现包括已知漏洞已知的WEB攻击手段黑客工具恶意软件等等。ZEEK通过关键行为的记录偏向于通过威胁狩猎发现未知的威胁。
针对这是三个流量检测引擎可以分别到对应的github上下载在Linux系统进行安装将pcap分别送到三个引擎回放验证即可。但是同一个数据包需要在三个引擎中分别操作需要三次还是比较的繁琐。此时可以借助dalton开源项目dalton 通过一个控制器对于suricatasnortzeek三个流量探针引擎进行集中管理将结果统一的呈现。
dalton开源的地址见这里由于dalton以docker的形式提供服务使用起来还是非常的方便因此需要把docker的版本更新到最新。根据dalton中的说明如下
docker service docker start
./start-dalton.sh 这个时候安装脚本会去下载多个docker容器其中包括dalton服务相关的容器例如controllernginxredissuricatasnortzeek等多个容器dalton 安装成功之后如下图1 图1
其中snortsuricatazeek为流量侧的探针容器dalton_controller为流量探针调度控制容器dalton_web为WEB UI容器dalton_redis消息队列存储容器。可以看到UI开放的端口为80端口因此直接访问对应的IP地址如下图2 图2 选择指定的引擎引擎版本一般选择教新的版本和规则集回放pcap以suricata为例如下图3 图3 如上图3选择的为6.0版本的suricata规则集合为suricata自带的规则集合输出的日志为suricata自带的eve格式的日志。这其中比较的关键的是规则集的选择由于suricata自带的规则比较少因此建议丰富suricata的规则集这也是安全分析师需要积累的方面。收集符合自身要求的规则集合对于安全分析师的工作非常的重要如下连接是github上常见的规则集合
https://github.com/klingerko/nids-rule-library
https://github.com/al0ne/suricata-rules
https://github.com/travisbgreen/hunting-rules
https://github.com/xNymia/Suricata-Signatures其中nids-rule-library涉及的规则集合比较的丰富如下图4 图4 可以看到一些安全大厂像proofpoint提供了et open的规则集以及et pro付费的规则集每年的费用在5000元人民币左右改规则主要倾向于是和攻击手段相关的规则。Talos实验室也给snort维护了一份漏洞的规则集每年的费用在300元人民币左右相对非常的便宜改规则集主要倾向于知名漏洞相关的规则。除此之外还有abuseosint等诸多的开源情报可以包括数字证书的情报恶意IP的情报恶意域名的硬包。建议将讲这些规则集进行收录作为个人的分析分析库使用。将上述定期更新的规则集放到dalton目录下的rulesets目录下则可以在页面上进行选择。如上图的3 rulesets中。
dalton提供了多种形式的告警运行的结果如下图5所示 图5 通常来说只要看alert中的告警即可如果想要看更多的内容进行诸如威胁狩猎相关的工作则可以看一下eve json中的内容如下图6 图6 可以看到eve json中的内容除了alert告警之外还提供了像anomaly异常事件多种协议例如,smb,decrpc等协议的meta源信息记录的能力可以从异常行为发现的角度分析更多的可以内容。
上述只是针对dalton中的suricata部分做了介绍针对snort和zeek同理。值得注意的是无论哪一种流量检测引擎规则集都是极为重要的。由于个人安全分析师的场景无需考虑性能的影响所面对的流量场景也非常的简单因此建议可以针对snortsuricatazeek可以收集github上所有的规则集合并定期的更新让本地工具检测能力达到极致。在后续的我的专栏中安全分析师中这里会做如下内容的介绍
如何基于github打造个人的本地检测规则集合。基于dalton的分析日志进行攻击技术点的关联打造安全事件检测工具完成规则告警到安全事件的升级。
本文为CSDN村中少年原创文章未经允许不得转载博主链接这里。
