前言
WAF
这里有雷池waf的演示站点,实际上去护网使用的是商业版雷池waf,这个是一个演示后台。演示站:https://demo.waf-ce.chaitin.cn:9443/statistics/dashboard
护网时候主要看这个防护日志,看看有哪些攻击记录,有哪些攻击ip,对攻击ip进行该封禁就封禁,该上报就上报。
如何判定误报呢?看如下:
判定真实攻击和误报,这个就看各位师傅们积累的功底了,需要在waf上面查看发送包和返回包,有些攻击payload老师傅可以一眼顶真,判定为真实攻击或者误报。
蜜罐
护网期间常用的蜜罐有很多,比如微步蜜罐、安恒迷网、默安蜜罐…
其实功能都是类似,都是一个后台可以查看所有的蜜罐的攻击者访问记录,我们可以使用一个免费的蜜罐HFISH进行效果模拟,功能都是类似的,只是商业版的更强而已,不影响我们学习。
安装教程:
https://hfish.net/#/2-3-windows
windows安装需要关一下防火墙。
下载解压后,双击运行install.bat
https://127.0.0.1:4433/web/login
admin
HFish2021
蜜罐系统安装完成,可以查看我们的攻击仪表盘。
可以看到,已经在不同的端口开启了多个蜜罐。
访问端口看一下,兄弟,非常逼真!
查看攻击列表,发现攻击者已经被成功记录在案!
还有更强的蜜罐,比如vpn蜜罐,下载客户端vpn,其实是一个马子,红队一使用就上线了,还有mysql蜜罐可以指定读取连接者电脑上的一个任意文件,危害极大,还有jsonp蜜罐偷取你其他平台的个人信息。。。
态势感知
奇安信天眼(Qihoo 360 Tianyan)是一款网络安全设备,主要用于流量检测与分析。它的核心功能包括对恶意流量的识别和告警,以及对潜在网络攻击和异常行为的监控。它通过深度流量分析来检测各种网络威胁,比如DDoS攻击、入侵、恶意软件传播等。
不过,奇安信天眼主要以流量识别和告警为主,而不是像一些防火墙或入侵防御系统那样直接进行主动阻断。这意味着,天眼在检测到恶意流量时,它会向管理员发出警告,帮助他们及时发现潜在问题,但并不一定会自动进行流量阻断或防御。阻断措施通常需要通过其他安全设备或配套的防护系统来实施。
天眼和waf最大的区别是,天眼是属于流量设备,支持多种协议,什么tcp、http/https都支持,但是waf是仅仅支持http/https协议,并且进行阻断攻击。
首页模板
流量筛选分析
攻击详情数据包
查看攻击流量的发送包和返回包
判定是否为真实攻击
后记
护网行动需要每个人的参与! 即使没有专业设备,提升安全意识、做好个人防护、积极行动,也能为网络安全贡献力量!
2、本站永久网址:https://www.xheishou.com
3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
暂无评论内容