网络钓鱼
- 诀窍
- 选好钓位,选准钓饵,备好钓具,练好钓具
- 行为特征
- 各式各样的欺骗
- 邮件带附件
- 成本
- 时间和耐心
- 0Day,不愿也上钩
人肉
- 方法
- 无线网络攻击
- 窃取接入密码
- 流氓AP攻击
- 直接物理攻击
- 成功应聘某个岗位,直接攻击企业内部
- 无线网络攻击
- 成本
- 物理上接近目标
- 器材
- 应对方法
- 管好无线
- Radius 证书 双因素 隔离
- 无线用户使用独立的网络,不接入办公网
- Client lsolation
- 防止流氓AP
- 员工私自安装的AP:禁止安装
- 黑客安装的AP(airsnarf):隔离
- Radius 证书 双因素 隔离
- 做好应聘人员背景调查
- 管好无线
渗透
- 黑客思路:在扎根、扩大权限的同时找东西
- 攻击方式
- 扫描端口,漏洞,弱密码和共享
- 破解密码并尝试登陆
- 安装不同的后门
- 网络欺骗
- 攻击成本
- 工具:扫描,数据分析,文件查找,密码破解,后门
- 时间:太快容易被发现,太慢也容易被发现
- 应对方法
- 应对扫描和密码破解
- Ip地址一对多,目的端口相对固定
- 数据包行为短时间内大量重复
- 后门
- 后门的分类和部署方式
- 按公开程度分:私有、小范围公开和完全公开私有、小范围公开和完全公开
- 按协议分:UDP TCP ICMP FTP SMTP HTTP
- 按行为分:正连(被动)和 回连(主动)
- 按性质分:干活用,尽量方便;回生用,尽量隐蔽。BIOS,引导区
- 公开私有混合部署,多种协议混合部署;正连回连混合部署;大量干活,少量回生
- 检测后门
- 行为检测
- 协议特征
- 监控响应
- 后门的分类和部署方式
- 应对欺骗
- 欺骗的类型
- ARP欺骗:MAC-IP
- CAM欺骗:MAC-PORT
- 行为特征
- 大量ARP包
- 元素对应关系变化频繁
- 应对方法
- Arp监控
- Cisco Port Security
- .•划VLAN禁共享,监控扫描、破解、欺骗和后门
- 欺骗的类型
- 应对扫描和密码破解
收货
- 行为分析
- 收货:黑客从办公网下载数据的过程
- 收货的方式
- 用后门直接下载
- 用邮件发送
- 结合包转发程序用HTTP/FT[+Socks多线程下载(HTran)
- 行为特征
- 超长连接
- Socks4/5协议
- 持续大量PSH-ACK
- 应对收货
- Panabit 监控主机流入流出的流量
- 监控长连接、Socks和上传流量
炒鸡辣鸡原创文章,转载请注明来源
