超级会员免费看
网络安全事件处理与Snort实时响应
在网络安全领域,及时发现和处理安全事件至关重要。本文将介绍在处理网络安全事件时的一些关键步骤,包括检测异常文件、查找异常网络服务、从事件中恢复以及从攻击中学习等方面。同时,还会探讨如何将Snort融入整体安全策略,并使用Syslog - ng进行日志管理。
检测异常文件与网络服务
在对感染Blaster.E的Windows 2000服务器进行调查时,我们通过搜索DCERPC警报和TFTP Get警报生成日期创建的文件,发现了潜伏在C:\WINNT\system32目录下的mslaugh.exe文件。这表明攻击者可能利用该文件进行恶意活动。
黑客和蠕虫常常会在系统上安装新的网络服务,这些服务通常监听特定端口,作为未来控制或攻击系统的后门。我们可以使用netstat工具来查看系统正在监听的端口以及当前的网络连接情况。在Linux、Unix或Windows命令提示符下,输入以下命令可以列出所有监听的TCP和UDP端口:
netstat -an | more
该命令会输出系统监听的端口列表,以及活动连接列表。在“Local Address”列中显示端口监听的IP地址和端口号(例如,0.0.0.0:80),“State”列显示端口的状态。在Linux系统中,监听端口显示为“LISTEN”,在Windows系统中显示为“LISTENING”。对于活动连接,还需要关注“Foreign Address”列,该列显示连接的对方系统。
当在感染Blaster.E蠕虫的系统上运行netstat时,我们发现系统向一系列陌生的外部IP
订阅专栏 解锁全文
扫一扫
3623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
