您现在所在位置:主页 > 服务器安全 >

ddos防御_cc防护喷雾是什么_指南

更新时间:2021-07-23

ddos防御_cc防护喷雾是什么_指南

当攻击者试图突破您的周界或在您的环境中操作时,您需要迅速采取行动。安全情报至关重要。好消息是,您可以从网络中检测到威胁的大多数指标。虽然NetMon非常容易使用,但它仍然可以为分析网络流量和发现安全风险提供非常强大的方法。应用程序和数据包捕获NetMon最强大的特性之一是它能够为数百个网络应用程序分类和提取相关的元数据。要查看完整列表,请查看应用程序指南。这将有助于确定用于跟踪的有趣应用程序。[有了这些知识,决定哪些应用程序保存为包捕获(packetcapture,PCAP)就变得简单多了。理想情况下,所有的东西都可以存储,但显然磁盘空间是一个限制因素-在发生事件时,如果网络数据已经过时,这将使您的调查复杂化。这就是为什么选择几个值得注意的应用程序是明智的。为此,请转到"配置"选项卡并单击"捕获"按钮。在那里,可以按名称单独添加应用程序。有助于捕获的示例应用程序包括DNS、HTTP、FTP、SMTP、TCP和UDP。捕获后,可以从"分析"或"捕获"选项卡下载pcap。您还可以使用一个可用的脚本通过API检索它们,包括SmartResponse™ 可以直接从SIEM中执行此操作的插件。查询和分析数据除了"仪表板"选项卡之外,Network Monitor的另一个重要功能是"分析"选项卡。不出所料,tab是进行网络分析的最佳场所。查询栏和事件表实际上是这个视图最重要的方面。查找相关数据是NetMon最重要的功能之一。但这也是一个主要留给用户的领域,这就需要了解Lucene查询语法的基本知识。幸运的是,无论何时你运行谷歌搜索,你都可以使用Lucene。在NetMon的例子中,只要在查询栏中输入文本(从IP到字符串的任何内容),浅析ddos的攻击及防御,就可以在时间栏中指定的时间范围内搜索所有已解析的元数据。例如,搜索IP"10.0.0.2"将显示解析该IP的任何会话-源IP、目标IP或其他任何内容。例如,搜索IP"10.0.0.2"将显示解析该IP的任何会话-源IP、目标IP或其他任何内容。但是假设我们希望非常具体,只想显示当我们的IP是会话的源时。第一步是查看"字段"窗口—在这里,将列出所有元数据字段(选中字段旁边的复选框将导致该字段及其值出现在事件表中)。我们要搜索的字段是SrcIP。Lucene有一个非常简单的键/值对匹配语法:SrcIP:10.0.0.2。要组合对,请使用"AND":SrcIP:10.0.0.2和应用:http。对于范围内的搜索,请使用TO运算符和括号:SrcIP:[10.0.0.2到10.0.0.10]请注意,布尔运算符必须全部大写:OR、AND、NOT和TO。还要记住,搜索的时间范围必须使用时间工具栏设置。常用的简单查询的一个很好的例子是查找从特定主机捕获的流量。假设从主机user1观察到Telnet通信量。公司网站-一个明确的安全问题。因为Telnet是未加密的,所以假设Telnet被捕获,wayos如何防御ddos攻击,我们可以找到并观察使用NetMon传输的实际文本。使用查询:主机:user1.company.com和美联社复制:telnet和捕获:符合显示已保存的会话。要对主机的通信量执行一些附加分析,请删除应用程序以查看与主机之间的所有捕获流量。也许我们会发现一些可疑的东西,然后意识到主机被破坏了。使用案例:语法还支持基本通配符。此查询的一个示例可能是查找退出网络的某些文件。质询文件名:*.*pdf将查找NetMon中某个字段中索引的所有pdf。我们可以将其添加到一个更复杂的字符串中,以查找通过SMTP*发送的所有PDF文件,这些PDF都是作为组织域外电子邮件地址的附件发送的。美联社应用程序:smtp和附件大小:>1和文件名:*.pdf和-收件人:organization.com。如果我们知道我们不想看到的特定敏感文件的名称,我们显然可以更改文件名的值。注意:搜索特殊字符时,请确保用反斜杠转义。例如,要搜索"over and out",破折号是特殊字符,必须转义:"over-and-out"。网络钓鱼计划可能使用伪造的发件人地址来更容易欺骗受害者。然而,电子邮件仍然必须离开发件人域,为什么防御ddos的成本那么高,这就造成了发件人电子邮件和发件人域之间的差异。要在NetMon中找到这个,请使用以下查询:网络钓鱼计划可能使用伪造的发件人地址来更容易欺骗受害者。然而,电子邮件仍然必须离开发件人域,这就造成了发件人电子邮件和发件人域之间的差异。若要在网络监视器中查找此项,请使用以下查询:发件人电子邮件:*组织*而不是发件人域:*组织网站*而且你存在于发送域中应用程序可能使用公共网络端口来尝试隐藏它们在已知协议之间的通信量。这种技术经常被恶意软件发现,它们试图保持与受害者的秘密通道。这就是所谓的端口误用,很容易在NetMon中检测到。例如,要检测端口22上的非SSH通信,请使用以下查询:目的地:22和不是Ap应用程序:ssh定制布局和警报对于许多经常使用的查询,自定义布局以更好地适应该应用程序的数据是一个好主意。这将为分析员提供一个清晰有效的工作流程,以便快速处理数据。例如,对于要通过SMTP识别网络钓鱼的查询,请使用字段选择器指定重要的元字段,同时消除干扰:TimeStart、Receiver、Sender、SenderDomain、AttachSize、Filename和MessageSize。此外,防火墙如何防御ddos攻击,表格可以扩展到页面宽度,云端抗ddos防御服务,这样数据就可以很容易地适应。布局就绪后,使用布局控制小部件保存它。最后,常规查询可以变成警报,从NetMon内部触发。可以从"报警"选项卡轻松配置和监控这些功能。LinkedIn Twitter Facebook Reddit电子邮件