事件處理概述--PAWSS基礎模塊 0621
綠盟網站安全監測服務的功能
脆弱性檢測:網站漏洞掃描 安全通告
可用性檢測:網站平穩度檢測 網頁測速 域名解析監測
完整性監測:網頁掛馬監測 網頁篡改監測 敏感內容監測
認證檢測:釣魚網站監測
重點:基本監控原理
事件處理流程
網絡基礎
平穩度模塊
DNS模塊
篡改模塊
掛馬模塊
osi參考模型
具體7層 數據格式 功能與連接方式 典型設備
應用型application 網絡服務與使用者應用程序
之間的一個接口
表示層presentation 數據表示 數據安全 數據壓縮
會話層session 建立管理和終止會話
傳輸層transport 數據組織成數據段 用一個尋址機制來表識一個
特定的 應用程序(端口號)
網絡層network 分割和重新組合數據包 基於ip地址進行不同網絡系統 路由器
packet 間的路徑選擇
數據鏈路層 將比特流封裝成數據幀 用MAC地址來尋址 網橋 交換機 網卡
data lnk
物理層physical 傳輸比特流 建立 維護和取消物理鏈接 光纖 同軸電纜
ip(ipv6) 在網絡上標識主機
域名 baidu.com 主域名
www.baidu.com 二級域名
bbs.baidu.com 二級域名
DNS(domain name system)域名系統 域名和ip相互映射 叠代查詢
在網絡上會有不同角色安全價值的破壞
掃描器產品定位
web掃描:web應用 第三方web組件 web服務
系統掃描:數據庫 應用程序 操作系統 基礎網絡
網站入侵-web漏洞發現-跨站泄漏-信息泄露-sql註入-信息竊取-網頁篡改
如何改變現狀: web掃描器
黑客攻擊最根本依據在於發現,利用web漏洞
先於黑客發現並修復web漏洞,始終是治本的最佳方法
自動化的web漏洞檢查工具--web掃描器
Dos(denial of service) 拒絕服務 屬於攻擊早期形態
DDos分布式拒絕服務 當前主流攻擊手段 主要消耗網絡帶寬,消耗主機資源 ,利用主機發起攻擊
ddos主要是黑客通過命令去阻塞沿途帶寬,攻擊基礎網絡設施(使合法使用者沒有帶寬,訪問的域名不能通過DNS訪問最終的服務器),通過DNS域名解析系統訪問到要攻擊的服務器
平穩度模塊
超文本傳輸協議
http是如何工作的
cp建立連接--發送請求信息--server--發送響應信息--cp端關閉連接
平穩度事件類型:連接斷通 連接延時 異常返回碼 波動
http響應狀態碼: 1xx 指示信息 表示請求已接收,繼續處理
2xx 成功 表示請求已被成功接收 理解 接收
3xx 重定向 要完成請求必須進行更進一步的操作
301 永久重定向
302 暫時性轉移
4xx 客戶端錯誤 請求有語法錯誤或者請求無法實現
400 Bad Request 客戶端請求有語法錯誤
403 Forbidden 服務器收到請求 但是拒絕提供服務
404 Not Found 請求資源不存在 eq:輸入了錯誤的URL
5xx 服務器端錯誤 服務器未能實現合法的請求
500 Internal server error 服務器發生不可預期的錯誤
503 server unavailable 服務器當前不能處理客戶端的請求 一段時間後可能恢復正常
驗證小工具 ping telnet curl
ping -t 域名/ip 測試主機是否存活 ping www.baidu.com ping 172.25.254.1
telnet 主機名/ip 端口 判斷端口是否開放 telnet -antlpe | grep mysql/3306
curl -v 域名 顯示向服務器發送的所有命令
curl -I 域名 僅顯示header
常見端口 80 HTTP 用於網頁瀏覽
443 HTTPS 提供加密和安全傳輸的另一種HTTP
21 FTP 用於上傳 下載
23 TELNET 遠程登錄
25 SMTP 用於發送郵件
8080 http 用於網頁瀏覽 被用於www代理服務器
traceroute監測發出數據包到目標主機所經過的路由工具
平穩度監測驗證流程
手動訪問 點擊“驗證”按鈕
備註要求
看協議 http https tcp ping
瀏覽器直接訪問 http https/ie chrome firefox/wap
查看‘相關事件’
輔助判斷工具
重點客戶 (國家信訪局 民生銀行 移動類客戶 )
網頁測速 從各省運營商網絡路線遠程實時監測目標網頁頁面元素的加載速度,一旦發現網頁加載速度超過用戶設置閾值 ,第一時間通知客戶
網頁測速其實就是對網頁的元素做監控 zabbix cacti
網頁測速服務的開啟
錄入授權 PAWSS-PS
選擇測速各地監測點 3個監測點 IDC&LastMile
添加測速關鍵頁面 測試客戶僅提供主頁測速服務,最多不超過5個關鍵頁面
DNS模塊
ALIAS 域名的別名
NS 授權域服務器
SOA 起始授權記錄
mname(主服務器)當前區的數據源服務器
rname (負責人郵箱) 當前區負責人的郵箱
郵件 指的是郵件服務器
dig命令集 dig www.126.com 查詢www.126.com的A記錄
dig www.126.com @212.89.34.20 在212.89.34.20服務器上查詢www.126.com的記錄
dig www.126.com +trace 跟蹤一個域名解析的過程
清除本地DNS緩存
ipconfig
ipconfig /?
ipconfig /all
ipconfig /displaydns 查看本機的DNS緩存列表
ipconfig /flushdns 清除本地DNS緩存命令
指定服務器進行解析 nslookup
nslookup /?
nslookup -qt=類型 目標域名 指定的DNS服務器IP或域名
eq:nslookup -qt=A 域名8.8.8.8
DNS監測驗證流程
“dig”按鈕 手動dig
備註要求
查看“相關事宜”
輔助判斷工具(監控寶 阿裏測 17CE)
看域名能否正常訪問
重點客戶(招商銀行 華夏基金)
篡改模塊
什麽是篡改 篡改=寫權限
篡改--目的性--顯示結果
爬蟲又稱為網頁蜘蛛 可以抓取網絡上的腳本和信息
關鍵頁面 1爬蟲 深度爬蟲pycurl 搜索引擎google/baidu
2手動添加
網頁篡改監測驗證流程
手動訪問 “查看詳情”按鈕 下載場景文件
備註要求
查看“相關事宜”
重點客戶(國信證券)
掛馬模塊
網馬 網馬類型: 1系統漏洞 瀏覽器漏洞 各種組件漏洞
2軟件漏洞 flash播放器 瀏覽器插件 office漏洞 其他應用軟件
制作木馬 ---植入網頁木馬
木馬又稱為木馬病毒 是通過特殊程序通過一臺電腦控制另一臺電腦
掛馬過程 制作木馬-木馬免殺-制作網頁木馬-入侵網站-植入網頁木馬
本文出自 “陽光蜜汁” 博客,轉載請與作者聯系!
事件處理概述--PAWSS基礎模塊 0621