超级会员免费看
网络安全事件处理与Snort集成策略
在网络安全领域,我们经常会面临各种安全威胁,如蠕虫攻击、入侵者入侵等。本文将详细介绍如何处理这些安全事件,以及如何将Snort集成到整体安全策略中,以实现更高效的网络安全防护。
1. 安全事件调查与发现
当我们的系统受到攻击时,首先要进行调查。以Blaster.E蠕虫感染的Windows 2000服务器为例,我们通过搜索在DCERPC警报和TFTP Get警报生成日期创建的文件,发现了潜伏在C:\WINNT\system32目录下的mslaugh.exe文件。这表明攻击者可能利用了系统的漏洞进行攻击。
同时,黑客和蠕虫常常会安装新的网络服务,这些服务通常是后门程序,用于未来控制或攻击我们的系统。我们可以使用netstat工具来查看系统正在监听的端口和当前的网络连接情况。在Linux、Unix或Windows命令提示符下,输入以下命令:
netstat -an | more
这个命令会列出系统正在监听的端口和活动连接。在“Local Address”列中,显示的是端口监听的IP地址和端口号;在“State”列中,对于监听端口,Linux系统显示“LISTEN”,Windows系统显示“LISTENING”。对于活动连接,还需要关注“Foreign Address”列,它表示连接到我们系统或被我们系统连接的远程系统。
当我们在感染了Blaster.E蠕虫的系统上运行netstat命令时,发现了一些向未知的连续外国IP地址的TCP端口135发起的连接尝试(在“State”列中显示为“SYN_SENT”),这表明我们
订阅专栏 解锁全文
扫一扫
41
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
