乐趣区

关于node.js:构建内网安全的威胁与方法

网络钓鱼

  • 窍门

    • 选好钓位,选准诱饵,备好钓具,练好钓具
  • 行为特色

    • 各式各样的坑骗
    • 邮件带附件
  • 老本

    • 工夫和急躁
    • 0Day,不愿也上钩

人肉

  • 办法

    • 无线网络攻打

      • 窃取接入明码
      • 流氓 AP 攻打
    • 间接物理攻击

      • 胜利应聘某个岗位,间接攻打企业外部
  • 老本

    • 物理上靠近指标
    • 器材
  • 应答办法

    • 管好无线

      • Radius 证书 双因素 隔离

        • 无线用户应用独立的网络,不接入办公网
        • Client lsolation
      • 避免流氓 AP

        • 员工擅自装置的 AP:禁止装置
        • 黑客装置的 AP(airsnarf):隔离
    • 做好应聘人员背景考察

浸透

  • 黑客思路:在扎根、扩充权限的同时找货色
  • 攻击方式

    • 扫描端口,破绽,弱明码和共享
    • 破解明码并尝试登陆
    • 装置不同的后门
    • 网络坑骗
  • 攻打老本

    • 工具:扫描,数据分析,文件查找,明码破解,后门
    • 工夫:太快容易被发现,太慢也容易被发现
  • 应答办法

    • 应答扫描和明码破解

      • Ip 地址一对多,目标端口绝对固定
      • 数据包行为短时间内大量反复
    • 后门

      • 后门的分类和部署形式

        • 按公开水平分:公有、小范畴公开和齐全公开公有、小范畴公开和齐全公开
        • 按协定分:UDP TCP ICMP FTP SMTP HTTP
        • 按行为分:正连(被动)和 回连(被动)
        • 按性质分:干活用,尽量不便;回生用,尽量荫蔽。BIOS,疏导区
        • 公开公有混合部署,多种协定混合部署;正连回连混合部署;大量干活,大量回生
      • 检测后门

        • 行为检测
        • 协定特色
        • 监控响应
    • 应答坑骗

      • 坑骗的类型

        • ARP 坑骗:MAC-IP
        • CAM 坑骗:MAC-PORT
      • 行为特色

        • 大量 ARP 包
        • 元素对应关系变动频繁
      • 应答办法

        • Arp 监控
        • Cisco Port Security
        • .•划 VLAN 禁共享,监控扫描、破解、坑骗和后门

收货

  • 行为剖析

    • 收货:黑客从办公网下载数据的过程
    • 收货的形式

      • 用后门间接下载
      • 用邮件发送
      • 联合包转发程序用 HTTP/FT[+Socks 多线程下载(HTran)
    • 行为特色

      • 超长连贯
      • Socks4/ 5 协定
      • 继续大量 PSH-ACK
  • 应答收货

    • Panabit 监控主机流入流出的流量
    • 监控长连贯、Socks 和上传流量

炒鸡辣鸡原创文章,转载请注明起源

退出移动版