您现在所在位置:主页 > DDOS防御 >

香港ddos防御_阿里云高防ip支持更换吗_打不死

更新时间:2021-07-23

香港ddos防御_阿里云高防ip支持更换吗_打不死

利用Windows操作系统的Pass-the-hash攻击并不是什么新鲜事,事实上它们已经存在了很多年了;然而,尽管这种攻击已经有近20年的历史了,但是对于攻击向量仍然知之甚少。因此,在这篇文章中,我将介绍什么是Pass-the-hash(PtH)攻击,一些缓解的资源,以及如何使用logrythym SIEM来检测PtH在机器之间的横向移动。但是,首先,什么是甲状旁腺激素攻击?好吧,让我们想象一个有趣的集市,而不仅仅是任何一个有趣的集市。在这个特别有趣的展览会上,业主们真的很关心他们的骑乘安全,他们只能乘坐他们被授权乘坐的游乐设施。每辆车的整个认证机制从入口开始,在他们出示两套身份证的过程中,作为回报,他们会得到一个由这两个身份证组成的加扰令牌。到目前为止,还不错。现在他们有了代币,他们兴高采烈地期待着访问博览会的所有设施,愉快地将其提交给每个单独的资源进行验证;然而,一个问题发生在,每个人使用他们的代币的地方,都会有一个副本落在停车位上。更糟糕的是,代币并不是一次性的,cc攻击防御免费平台,它会持续一整晚。如果某个无耻的人得到了一份业主的代币怎么办?这个人可以在没有真正授权的情况下从一辆车跳到另一辆车,甚至开始收集更多的代币!这就是我对甲状旁腺激素攻击的高度非技术性类比;然而,幸运的是,对于我们所有人来说,互联网上都有技术含量很高的人,包括更聪明的人,他们可以用更专业的术语来解释甲状旁腺激素(PtH)问题,以下是微软对整个甲状旁腺激素(PtH)问题的描述:传递哈希(Pass-The-Hash,PtH)攻击和其他凭证窃取和重用类型的攻击使用一个迭代的两阶段过程。首先,攻击者必须在至少一台计算机上获得本地管理权限。其次,攻击者试图通过以下方式增加对网络上其他计算机的访问:从受损计算机窃取一个或多个身份验证凭据(属于其他帐户的用户名和密码或密码哈希)。重新使用被盗的凭证访问其他计算机系统和服务。在实际攻击过程中,此序列经常重复多次,大规模DDoS攻击最佳防御点,以逐步提高攻击者对环境的访问级别。好吧,给你。可怕的东西!这种类型的攻击最早是在97年由保罗·阿什顿发现的。97年的美好时光,你可以不用锁上你的数码门,钥匙就在门上,让你的邻居无所畏惧地进来。但现在已经不是好时光了,没有加盐的NTLM散列密码值最终意味着您不需要在Windows中破解密码,您只需从内存中转储散列值并将其传递给远程系统。幸运的是,企业中应该强制采用一些缓解措施、许多缓解措施和最佳实践。这些在细节上各不相同,比如禁用NTLM和使用纯Kerberos(可以通过票证攻击,但这是另一篇博文),或者当您使用特权凭据访问系统时重新启动系统等等……事实上,Microsoft提供了一份80页的文档,内容是关于缓解的。80页!很有可能的是,大多数公司都会在某种程度上受到这种剥削。现在,即使是每个人最喜欢的安全机构的三个字母缩写,国家安全局(NSA)也有一份关于Windows事件日志收集的精彩文档,其中包括从日志数据中检测PtH的部分(是的,这些帖子最终会发到与SIEM相关的地方!)。引用第4.15节:成功地使用PtH在工作站之间进行横向移动将从安全日志中触发事件ID 4624和事件级别的信息。此行为将是使用NTLM身份验证的登录类型3,其中它不是域登录,也不是匿名登录帐户。尝试使用PtH横向移动时登录尝试失败将触发事件ID 4625。使用NTLM身份验证时,登录类型将为3,其中它不是域登录,也不是匿名登录帐户。真有意思!我们可以很容易地获取这些信息,并围绕这些活动创建logrythym-SIEM关联规则,并给它们一个旋转。这是我们用来检测成功的PtH攻击的相关规则。我们使用的是一个logrymethy有效域列表,我们希望从中看到身份验证活动。但首先…这些散列实际上是什么样子的?好吧,蓝色彼得风格,这里有一些我之前从我们的受损主机准备的(顺便说一句,不是真正的散列,它们已经被修改为不把密码放在互联网上!):现在在列表中,我们的测试帐户是否被恰当地命名为"christest"让我们展示一个使用上面的散列来验证网络上另一个不知道密码的系统的例子(希望可以得到更多的散列值!)。嗯,那很顺利。但到底发生了什么?使用从第一台受损主机上的内存中提取的哈希值,ddos服务器防御,我们就成功地通过了网络中另一台服务器的身份验证,而不需要知道底层密码。SmartResponse警报指示PtH尝试成功所以让我们对失败的PtH尝试同样的方法:SmartResponse警报指示PtH尝试失败现在你可能会问一个问题,为什么上面的例子失败了?可能有几个原因,例如我们试图通过远程计算机访问的本地帐户不存在,怎么关闭cc防御,它有不同的密码(因此有不同的哈希),也许他们在沃兹运行Windows 8/2012,也许目标系统安装了KB2871997(这是一件好事),或者有人不能正确使用metasploit。不管怎样都很有趣。我们找到了。简要概述如何开始使用日志数据来检测在其他情况下极难检测的活动。我强烈建议您阅读关于通过散列检测、通过罚单缓解和黄金罚单攻击的内容。大多数人并不知道这些攻击向量,但它们经常被恶意的参与者、APT甚至渗透测试人员使用。一如既往。纵深防御层应该有助于收集hashdump实用程序,但预防最终失败,多级ddos防御策略,所以检测是关键。来源和推荐阅读:://technet.microsoft.com/library/security/2871997LinkedIn Twitter Facebook Reddit电子邮件