网络钓鱼
-
窍门
- 选好钓位,选准诱饵,备好钓具,练好钓具
-
行为特色
- 各式各样的坑骗
- 邮件带附件
-
老本
- 工夫和急躁
- 0Day,不愿也上钩
人肉
-
办法
-
无线网络攻打
- 窃取接入明码
- 流氓 AP 攻打
-
间接物理攻击
- 胜利应聘某个岗位,间接攻打企业外部
-
-
老本
- 物理上靠近指标
- 器材
-
应答办法
-
管好无线
-
Radius 证书 双因素 隔离
- 无线用户应用独立的网络,不接入办公网
- Client lsolation
-
避免流氓 AP
- 员工擅自装置的 AP:禁止装置
- 黑客装置的 AP(airsnarf):隔离
-
- 做好应聘人员背景考察
-
浸透
- 黑客思路:在扎根、扩充权限的同时找货色
-
攻击方式
- 扫描端口,破绽,弱明码和共享
- 破解明码并尝试登陆
- 装置不同的后门
- 网络坑骗
-
攻打老本
- 工具:扫描,数据分析,文件查找,明码破解,后门
- 工夫:太快容易被发现,太慢也容易被发现
-
应答办法
-
应答扫描和明码破解
- Ip 地址一对多,目标端口绝对固定
- 数据包行为短时间内大量反复
-
后门
-
后门的分类和部署形式
- 按公开水平分:公有、小范畴公开和齐全公开公有、小范畴公开和齐全公开
- 按协定分:UDP TCP ICMP FTP SMTP HTTP
- 按行为分:正连(被动)和 回连(被动)
- 按性质分:干活用,尽量不便;回生用,尽量荫蔽。BIOS,疏导区
- 公开公有混合部署,多种协定混合部署;正连回连混合部署;大量干活,大量回生
-
检测后门
- 行为检测
- 协定特色
- 监控响应
-
-
应答坑骗
-
坑骗的类型
- ARP 坑骗:MAC-IP
- CAM 坑骗:MAC-PORT
-
行为特色
- 大量 ARP 包
- 元素对应关系变动频繁
-
应答办法
- Arp 监控
- Cisco Port Security
- .•划 VLAN 禁共享,监控扫描、破解、坑骗和后门
-
-
收货
-
行为剖析
- 收货:黑客从办公网下载数据的过程
-
收货的形式
- 用后门间接下载
- 用邮件发送
- 联合包转发程序用 HTTP/FT[+Socks 多线程下载(HTran)
-
行为特色
- 超长连贯
- Socks4/ 5 协定
- 继续大量 PSH-ACK
-
应答收货
- Panabit 监控主机流入流出的流量
- 监控长连贯、Socks 和上传流量
炒鸡辣鸡原创文章,转载请注明起源