有一些事情可能導致生成警報。本次列出的活動並不一定提示發生了攻擊,但如果IDS做出了標示,仍然應該進行檢查。
主機系統入侵
這些跡象可能表明對特定主機的入侵。
- 未知檔案、檔案屬性被更改及/或系統檔案被更改
- 不明或無法簡單確定用途的新檔案或資料夾。新檔案的出現可能是攻擊的訊號,該攻擊可能是可篡改系統、甚至蔓延到該主機所連線的網路的惡意軟體。
- 存在建立時無記錄的新使用者賬戶。
- 新的應用程式
- 不明原因或異常的進出系統的流量。
- 防病毒應用程式被禁用
- 防火牆軟體被禁用
- 未知或不明原因的檔案修改
- 未知副檔名
- 奇怪的檔名
- 特權非正常使用
同樣,謹記這份清單絕非詳盡無遺,應只將其視為可能提示潛在的攻擊或破壞活動的示例,請記住,這些活動也可能表明沒有任何問題。
統一威脅管理
在滲透測試中,統一威脅管理(Unifind Threat Management, UTM)是一個必須考慮的重要的事項,它是指使用一種能夠執行通常由多個獨立服務或裝置處理的任務的單一裝置或系統。
UTM背後的概念是簡化網路安全措施的管理,提高效率。其理念是,透過將幾種控制機制整合到一個裝置中,所有機制的資料共享和互動,將比這些裝置各自為戰時更加有效。而且,很多此類裝置的使用者樂見只需要購買和管理一臺裝置而不是多臺裝置所帶來的持有成本降低。
通常可以逾期UTM機制有何功能?
- 防火牆
- IDS或IPS
- 防病毒軟體
- 反惡意軟體
- 電子郵件管理
- 代理
- 內容過濾器
這些裝置有多高效?他們可以非常有效的保護網路,阻斷不速之客,但還有一些需要考慮的潛在問題。首先,此類裝置是網路的第一道防線,因此需要仔細選擇和配置這些裝置,以確保能夠提供恰當的保護;第二,此類裝置意味著一個單點故障,因此為預防他們發生故障,應制定一個描述如何處理該問題的策略;第三,由於多個供能合併成單個裝置,因此必須正確管理總體的處理效能和流量負載,否則,UTM可能在大量的負載下“屈服”。
從滲透測試的角度來看,這些裝置是一個有趣的挑戰。實際上,在執行掃描和列舉時,必須注意任何可探測出隱藏在IP地址後的UTM裝置的資訊。注意那些標識自身的服務、尋找不尋常的埠、拉取banner資訊,並找到那些可用於確定對抗物件的細節資訊為目標,進行仔細的偵查。在瞭解裝置的特徵後,就可以確定哪些技術能夠起作用或者效果更好。
網路入侵的指標
下列種種都是潛在網路攻擊或入侵的跡象:
- 增長且不明原因的網路頻寬使用
- 網路上的系統上的探測器或服務
- 來自未知來源或非本地IP的連線請求
- 來自遠端主機的反覆登入測試
- 日誌檔案中不明原因或無法解釋的訊息
- 連線到非標準埠
- 異常流量
- 異常的流量模式
- 處於混雜模式的網路介面卡
- 對順序IP地址的掃描
- 對連續範圍埠的掃描
- 對DNS伺服器的大流量訪問
和前文所述的針對主機的入侵一樣,這些攻擊都不一定是攻擊;但如果從NIDS收到警報,就應該對其進行檢查。
入侵的模糊跡象
重要的是要認識到並不是任何事情都是攻擊的跡象,因此必須仔細研究那些可疑的事件。
- 修改系統軟體和配置檔案
- 日誌丟失或具有不正確許可權或所有權的日誌
- 系統崩潰或重啟
- 系統審計中缺失內容
- 不熟悉的程式
- 使用位置登入資訊
- 在非工作時間登入
- 存在新的使用者賬戶
- 系統審計檔案中缺失內容
- 系統效能降低
- 不明原因的系統重啟或崩潰
本作品採用《CC 協議》,轉載必須註明作者和本文連結