安全牛web 安全工程師筆記
1. 網絡回溯分析
----dump數據包----然後分析數據包
----最真實,最全面
2.網絡回溯分析的作用
----瞭解 行爲規律
----發現 異常
----證明 取證,證明
3. 回去流量方式
----交換機鏡像
----tap
4. 應用
----流量異常
----蠕蟲
----木馬殭屍
----DOS
----滲透攻擊等
5. 突發流量
----影響
--------擁塞
----常見原因
--------P2P 等大數據傳輸
--------網絡設備配置問題
--------DoS
--------蠕蟲爆發
--------主機,操作系統的異常
--------網絡設備故障
分析步驟
----找到源頭
--------應用
--------IP
---------會話
通過回溯發現蠕蟲
----蠕蟲是一個傳播工具,可以通過自己在網絡上傳播
----通過郵件,及時漏洞
----os的網絡漏洞
蠕蟲的行爲特徵
----掃描端口和漏洞
----網絡層
--------同大量主機會話
--------大多是發包,每個會話流量少
--------會話層
木馬和殭屍網絡的分析方法
----木馬通過方向連接到控制端
----可能的特徵:可以的域名解析(肉雞用於找到控制端)
----木馬的活動階段
--------域名解析----上線連接----可以的心跳