RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內(nèi)不再提示

艾體寶干貨 IOTA流量分析秘籍第二招:IDS或終端保護系統(tǒng)分析

laraxu ? 來源:laraxu ? 作者:laraxu ? 2024-07-05 09:58 ? 次閱讀

終端保護解決方案或入侵檢測系統(tǒng)(IDS)可以基于啟發(fā)式方法、特征碼以及新解決方案中的人工智能來檢測惡意事件。它們通過電子郵件、Syslog、Webhooks或其他方式生成警報。然而,有效地分析這些警報消息的根本原因,以識別和響應潛在威脅,需要先進的工具和方法。
本文探討了IOTA網(wǎng)絡流量捕獲和分析解決方案如何使安全專業(yè)人員能夠分析IDS警報消息,從而全面提升網(wǎng)絡安全。
一、流量捕獲
第一步是捕獲受影響的流量。使用IOTA捕獲網(wǎng)絡流量有兩種選擇:內(nèi)聯(lián)(in-line)或通過SPAN連接。如果我們已永久部署IOTA,可以在警報出現(xiàn)后立即對流量模式進行回溯分析。IOTA在網(wǎng)絡中的放置位置必須根據(jù)預期應用決定。
二、流量分析
我們的分析過程取決于消息是來自終端檢測與響應(EDR)系統(tǒng)還是入侵檢測系統(tǒng)(IDS)。因此,我們描述了分析安全警報的各種方法。
三、尋找“零號病人(patient zero)”
名詞解釋:在網(wǎng)絡安全領域,“Patient Zero”(零號病人)是一個重要的概念,用于描述首次感染惡意軟件或病毒的用戶或設備。其識別和防御對于控制惡意軟件的傳播至關重要。
回溯分析的第一步是選擇所需的時間窗口。我們可以在IOTA界面的右上角區(qū)域中選擇絕對時間窗口(從某個時間到另一個時間)或相對于當前時間的時間窗口。時間窗口應盡可能限制,以簡化后續(xù)分析。

wKgaomaHUl-AQcFeAAw2R-_4u4o156.png

圖 1:在 IOTA 面板上應用相對或絕對時間過濾器


我們從受影響的主機開始搜索攻擊者。讓我們從首次檢測到攻擊或異常行為的主機開始,找到所謂的 “0 號病人”,并相應地限制時間窗口。
如果是已知攻擊,則可以專門搜索通信模式,如特定目標端口。我們還以此為例。我們假設一個文件服務器受到勒索軟件攻擊,該服務器通過網(wǎng)絡中的服務器消息塊(SMB)提供服務。服務器的 IPv4 地址是 192.168.178.6。
我們知道 SMB 在 TCP 端口 445 上運行,因此我們對該目標端口進行過濾。這表明,在加密時間窗口內(nèi),只有 192.168.178.22 客戶端與文件服務器建立了 SMB 連接。

wKgaomaHUm-ABIjeAAwYIL5vhRo920.png

圖 2:按目的地端口 445 和 IP 地址 192.168.178.6 過濾的視圖。流量圖也經(jīng)過過濾


在這里,我們使用過濾器 “IP_SRC = 192.168.178.22 ”來檢查客戶端 192.168.178.22 不久前建立了哪些通信關系,并明確是命令和控制流量還是下載流量。
在此之前,只有一個通信關系離開了內(nèi)部網(wǎng)絡,具體來說,是一個在目標端口 443 上使用 TLS 的 TCP 連接,即 HTTPS。在這里,我們使用 IOTA 的下載功能下載了整個數(shù)據(jù)流和相應的數(shù)據(jù)流?,F(xiàn)在,我們可以檢查客戶端 hello 中的 TLS 擴展服務器名稱指示 (SNI),以明確客戶端使用哪個主機名建立連接。

wKgZomaHUnuARMd0AAU5JHlHmys882.png

圖 3:概覽儀表板上的流量列表。我們可以將其下載為 PCAPNG 格式,詳細查看特定流量,或通過選擇 “+”符號進行包含過濾,或選擇“-”符號進行排除過濾

由于 TLS 加密,下載本身無法以純文本形式識別,因此必須在日志文件中對客戶端進行進一步分析。這表明用戶下載并安裝了一個惡意程序,然后通過分析的 SMB 網(wǎng)絡共享對文件進行加密。
這些步驟為我們提供了導致攻擊的 IP 地址、主機名和文件。不過,在某些情況下,下載惡意軟件的服務器只是攻擊者的 “前端服務器”,它們也會不時發(fā)生變化。
不過,由于網(wǎng)絡中的橫向移動在攻擊事件中通常是可以識別的,因此還應檢查其他客戶端,因為受影響的客戶端可能已經(jīng)分發(fā)了惡意軟件。如果在受影響的客戶端上無法識別外部通信關系,則應檢查所有內(nèi)部通信模式,看是否有異常情況可能將惡意軟件帶到客戶端 192.168.178.22。
要首先識別該主機與哪些遠程站進行過通信,我們可以進入 “概覽 ”儀表板,然后單擊流程圖中的 IP 地址。然后,IOTA 會對點擊的 IP 地址應用帶有源地址和目標地址的 IP 過濾器。

wKgaomaHUomAeFFeAA0UIcyMmSQ933.png

圖 4:通過 IP 地址過濾并查看捕獲的流量


在這幅圖中,我們可以看到兩個流量。我們隨后可以識別出幾種基于 IPv4 的通信模式。在示例中,主機與其他六個地址通信,其中一個是廣播地址 (255.255.255.255),192.168.178.1 是網(wǎng)關。我們還可以看到組播地址 224.0.0.251 和 239.255.255.250。這樣就只剩下 192.168.178.6 和 192.168.178.25。由于 192.168.178.6 本身就是文件服務器,我們可以認為 192.168.178.25 是唯一的其他主機。
通過對 192.168.178.25 進行過濾,我們可以調(diào)查與該 IP 連接的所有通信模式。如果只有一個流向 192.168.178.22,我們就可以認為 192.168.178.25 是零號病人。
四、ARP 欺騙
在下面的示例中,客戶數(shù)據(jù)中心網(wǎng)絡 IDS 報告了一次 ARP 欺騙攻擊。IDS 告訴我們,IP 地址 192.168.178.21 受此攻擊影響。我們需要獲取攻擊者的 MAC 地址,以便在網(wǎng)絡中搜索攻擊者所在的交換機和相應端口。
客戶數(shù)據(jù)中心 IP 網(wǎng)絡是靜態(tài)尋址的,因此我們只能看到 IP 和 MAC 地址之間一對一的映射。我們進入本地資產(chǎn)儀表板,使用 IOTA 調(diào)查此 IDS 警報。

wKgZomaHUpSAH5udAARMWOTR8ZA261.png

圖 5:導航至本地資產(chǎn)儀表板


然后,我們可以通過執(zhí)行過濾規(guī)則 “IP_SRC = 192.168.178.21 ”來過濾源 IP 地址。我們可以在 “客戶端清單列表 ”下看到兩個 MAC 地址。MAC 地址 14:1A:97:9E:AC:D5 是原始 Mac 地址。因此,攻擊者的 MAC 地址為 60:3E:5F:36:2B:5B,如下圖所示。

wKgZomaHUp-AdXTjAAWxxW91n1U709.png

圖 6:我們可以看到關于 IP 地址 192.168.178.21 的兩個 MAC 地址。因此,我們擁有兩個 MAC 地址


現(xiàn)在,我們已經(jīng)掌握了在網(wǎng)絡上搜索交換機上攻擊者定位所需的全部信息。
五、TLS 降級
另一個例子是,我們連接到 TAP 的 IDS 系統(tǒng)生成了 TLS 降級攻擊警報信息。受影響的公司策略只允許 TLS 版本 1.2 和 1.3,因此我們需要調(diào)查哪些主機正在使用 TLS 版本 1.0 或 1.1。為此,我們導航到 SSL/TLS 概述儀表板。

wKgaomaHUqqASEvQAARPeSD_YaQ638.png

圖 7:導航至 SSL/TLS 概述控制面板


在 SSL/TLS 總覽儀表板上,我們可以看到使用 TLS 1.1 或 1.0 的不安全配置,以及 SSL/TLS 服務器的配置欄。
如下圖所示,我們可以通過 “TLS_SERVER_VERSION < TLSv1.2 ”進行過濾,只獲取不安全連接。在這里,我們有一臺 IP 地址為 192.168.178.6 的服務器,它的 TLSv1 和 TLSv1.1 已激活,我們有 160 個流量受到不安全傳輸加密方法的影響。我們現(xiàn)在知道,只有這臺服務器會受到這種攻擊的影響。

wKgaomaHUreABIp1AAv5-YrZSQM077.png

圖 8:帶有不安全 TLS 版本過濾器的 SSL/TLS 總覽儀表板


之后,我們要調(diào)查該服務器是否也啟用了安全版本。在 SSL/TLS 總覽控制面板上,我們創(chuàng)建了 “IP_DST=192.168.178.6 ”過濾器,以便根據(jù)受影響的目標 IP 地址進行過濾。我們可以看到,該服務器也啟用了 TLSv1.2 和 TLSv1.3 安全版本。因此,我們可以認為該服務器受到了 TLS 降級攻擊的影響。

wKgZomaHUsSAc7NhAAvv8N026aY831.png

圖 9:SSL/TLS 概述儀表板,顯示 IP 地址 192.168.178.6 提供的所有 TLS 版本

六、端口掃描
我們的下一個安全事件由終端保護生成。IOTA 可以識別端口掃描并清除產(chǎn)生掃描的主機。因此,我們需要導航到 TCP 分析儀表板。

wKgZomaHUs-AOSbKAARrrmLGL0I666.png

圖 10:導航至 TCP 分析儀表板


在 “TCP 分析 ”面板上,我們可以過濾 “不完整的 3 路或無數(shù)據(jù)(Incomplete 3-way w/o Data)”。這有助于我們將所謂的 TCP 半開啟作為不完整三向進行檢查。
TCP 半開放有助于識別發(fā)送 SYN、等待 SYN/ACK 并保持握手開放的攻擊者。攻擊者可以在不通過 ACK 完成 TCP 握手的情況下獲得開放端口的信息。某些情況下會顯示握手數(shù)據(jù)而不傳輸數(shù)據(jù),這表明端口掃描。

wKgaomaHUtyABzC-AAvl516z40w979.png

圖 11:帶有源 IP 地址和目標 IP 地址過濾器的 TCP 分析儀表板,以及我們的指標 “不完整 3 路 ”和 “無數(shù)據(jù)”

七、為記錄目的導出數(shù)據(jù)
有時,需要導出捕獲的數(shù)據(jù)以進行徹底的取證分析或進一步調(diào)查。這一過程可按需或主動執(zhí)行,確保我們不受 IOTA 存儲容量的限制。
我們可以導航到左側(cè)菜單中的 “IOTA 數(shù)據(jù)庫 ”選項,以方便進行此操作。隨后,我們可以進入 “捕獲導出”,選擇首選協(xié)議,即 WebDAV 或 FTP。單擊 “應用 ”啟動導出流程,即可配置憑證和錯誤處理。按照該協(xié)議,捕獲的數(shù)據(jù)將以 PCAP 文件的形式上傳到指定的服務器,每隔三十秒上傳一次。

wKgaomaHUueAQzD7AA3ccey5HNs455.png

圖 12:定期導出到 WebDAV 服務器


IOTA 固態(tài)硬盤上的所有捕獲數(shù)據(jù)都可以作為 PCAPNG 文件在 IOTA 數(shù)據(jù)保險庫的 “捕獲文件 ”部分進行訪問。IOTA 每三十秒生成一次新的 PCAPNG 文件。我們可以按開始時間選擇所需的數(shù)據(jù),然后點擊下載。下載捕獲文件后,我們可以根據(jù)需要在 Wireshark 中分析有效載荷。

wKgaomaHUvGASkt0ABA3hS0JgCs553.png

圖 13:選擇并下載 PCAPNG 文件,以便在 Wireshark 中進行進一步研究


結(jié)論
IOTA 允許靈活的網(wǎng)絡集成和捕獲選項,以便對安全警報做出反應。捕獲可以在報告警報后按需進行,也可以作為永久滾動捕獲進行。
建議采用永久捕獲方式,以便在警報發(fā)出后立即提供所需數(shù)據(jù)進行分析。
流量可以簡單地導出為 PCAPNG,然后在需要時導入進行分析。IOTA 使我們能夠使用提供的儀表板快速有效地分析惡意通信模式。靈活的過濾器組合和深入分析選項可加快根本原因分析。

審核編輯 黃宇

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • IDS
    IDS
    +關注

    關注

    0

    文章

    27

    瀏覽量

    16152
  • 網(wǎng)絡安全

    關注

    10

    文章

    3155

    瀏覽量

    59699
  • Iota
    +關注

    關注

    0

    文章

    28

    瀏覽量

    8387
收藏 人收藏

    評論

    相關推薦

    高效、安全、智能:探索網(wǎng)絡管理方案

    網(wǎng)絡可觀測平臺是一款專為現(xiàn)代網(wǎng)絡挑戰(zhàn)設計的解決方案,提供實時的網(wǎng)絡流量分析和深度數(shù)據(jù)洞察。無論是網(wǎng)絡性能優(yōu)化、故障排除還是安全威脅檢測,這一平臺都將幫助您實現(xiàn)全面的網(wǎng)絡可視性和控
    的頭像 發(fā)表于 12-16 17:36 ?79次閱讀
    高效、安全、智能:探索<b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b>網(wǎng)絡管理方案

    一文讀懂MSA(測量系統(tǒng)分析)

    一文讀懂MSA(測量系統(tǒng)分析)
    的頭像 發(fā)表于 11-01 11:08 ?866次閱讀
    一文讀懂MSA(測量<b class='flag-5'>系統(tǒng)分析</b>)

    干貨 如何使用 IOTA?解決網(wǎng)絡電話(VoIP)質(zhì)量問題

    分析降低的 VoIP 質(zhì)量,涉及呼叫設置錯誤和語音質(zhì)量錯誤等內(nèi)容,從接口配置到圖表參數(shù)分析,讓您更加清晰的了解IOTA如何分析VoIP 質(zhì)量問題。
    的頭像 發(fā)表于 10-29 09:18 ?182次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b><b class='flag-5'>干貨</b> 如何使用 <b class='flag-5'>IOTA</b>?解決網(wǎng)絡電話(VoIP)質(zhì)量問題

    測量系統(tǒng)分析

    電子發(fā)燒友網(wǎng)站提供《測量系統(tǒng)分析.doc》資料免費下載
    發(fā)表于 10-10 11:46 ?0次下載

    電路原理 電力系統(tǒng)分析電力電子電磁學

    電路原理 模電數(shù)電電力電子電磁學 PLC電力系統(tǒng) 電力系統(tǒng)分析
    發(fā)表于 10-07 16:21

    如何使用 IOTA?分析安全漏洞的連接嘗試

    在當今數(shù)字化世界中,網(wǎng)絡安全變得至關重要。本文將探討如何利用流量數(shù)據(jù)分析工具來發(fā)現(xiàn)和阻止安全漏洞和惡意連接。通過分析 IOTA 流量,您可以
    的頭像 發(fā)表于 09-29 10:19 ?263次閱讀
    如何使用 <b class='flag-5'>IOTA</b>?<b class='flag-5'>分析</b>安全漏洞的連接嘗試

    時鐘噪聲對DAC性能影響系統(tǒng)分析

    電子發(fā)燒友網(wǎng)站提供《時鐘噪聲對DAC性能影響系統(tǒng)分析.pdf》資料免費下載
    發(fā)表于 09-26 09:14 ?0次下載
    時鐘噪聲對DAC性能影響<b class='flag-5'>系統(tǒng)分析</b>

    干貨 如何使用IOTA進行遠程流量數(shù)據(jù)采集分析

    本文詳細介紹了如何使用IOTA設備進行遠程流量數(shù)據(jù)采集與分析,特別適用于分布式網(wǎng)絡、多站點
    的頭像 發(fā)表于 09-02 17:20 ?265次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b><b class='flag-5'>干貨</b> 如何使用<b class='flag-5'>IOTA</b>進行遠程<b class='flag-5'>流量</b>數(shù)據(jù)采集<b class='flag-5'>分析</b>

    案例 IOTA在研發(fā)智慧醫(yī)療設備方面的應用實例

    本文將探討Profitap IOTA如何監(jiān)控實驗室的網(wǎng)絡環(huán)境,有哪些功能較為實用,有哪些關鍵應用場景等。
    的頭像 發(fā)表于 08-12 14:25 ?271次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b>案例  <b class='flag-5'>IOTA</b>在研發(fā)智慧醫(yī)療設備方面的應用實例

    干貨 IOTA流量分析秘籍第三:檢測黑名單上的IP地址

    干貨 | IOTA流量分析秘籍第三
    的頭像 發(fā)表于 07-16 11:48 ?382次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b><b class='flag-5'>干貨</b> <b class='flag-5'>IOTA</b><b class='flag-5'>流量分析</b><b class='flag-5'>秘籍</b>第三<b class='flag-5'>招</b>:檢測黑名單上的IP地址

    干貨 IOTA流量分析秘籍第一:網(wǎng)絡基線管理

    網(wǎng)絡基線管理是一項關鍵的網(wǎng)絡安全實踐,它有助于識別網(wǎng)絡中的異?;顒硬⒓皶r采取措施。本文將探討如何利用IOTA這一強大的工具來捕獲和分析網(wǎng)絡流量,以便更有效地了解網(wǎng)絡中的流量模式,并提供
    的頭像 發(fā)表于 07-02 14:53 ?344次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b><b class='flag-5'>干貨</b>  <b class='flag-5'>IOTA</b><b class='flag-5'>流量分析</b><b class='flag-5'>秘籍</b>第一<b class='flag-5'>招</b>:網(wǎng)絡基線管理

    干貨 | 教程:使用ntopng和nProbe監(jiān)控網(wǎng)絡流量

    本文是關于使用 ntopng 和 nProbe 監(jiān)控網(wǎng)絡流量的教程。文章詳細介紹了如何配置和使用這兩個工具來監(jiān)控和分析網(wǎng)絡流量。內(nèi)容涉及硬件和軟件的安裝、配置端口鏡像、靜態(tài)IP地址設置、SSH服務器
    的頭像 發(fā)表于 05-29 15:35 ?871次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b><b class='flag-5'>干貨</b> | 教程:使用ntopng和nProbe監(jiān)控網(wǎng)絡<b class='flag-5'>流量</b>

    產(chǎn)品 | 網(wǎng)絡流量分析儀樣機已備妥,歡迎試用

    在當今數(shù)字化時代,網(wǎng)絡的可靠性和安全性是企業(yè)成功的關鍵。的 ITT-Allegro 500 和 ITT-Allegro 1000 是專為網(wǎng)絡監(jiān)控和故障排除而設計的先進工具。無論您是運營商、企業(yè)
    的頭像 發(fā)表于 05-06 15:00 ?385次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b>產(chǎn)品 | 網(wǎng)絡<b class='flag-5'>流量分析</b>儀樣機已備妥,歡迎試用

    產(chǎn)品 | Allegro網(wǎng)絡流量分析

    產(chǎn)品 | Allegro網(wǎng)絡流量分析
    的頭像 發(fā)表于 04-29 08:04 ?473次閱讀
    <b class='flag-5'>艾</b><b class='flag-5'>體</b><b class='flag-5'>寶</b>產(chǎn)品 | Allegro網(wǎng)絡<b class='flag-5'>流量分析</b>儀

    單端口網(wǎng)絡S參數(shù)測量系統(tǒng)分析

    單端口網(wǎng)絡S參數(shù)測量系統(tǒng)分析
    的頭像 發(fā)表于 01-05 09:22 ?672次閱讀
    單端口網(wǎng)絡S參數(shù)測量<b class='flag-5'>系統(tǒng)分析</b>
    RM新时代网站-首页