一、概述

? 應(yīng)急響應(yīng)（Emergency Response）是指在發(fā)生緊急事件或安全事件時，及時采取措施以減輕損失和影響的過程。在計算機(jī)安全領(lǐng)域，應(yīng)急響應(yīng)通常指針對網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露、惡意軟件感染等安全事件的應(yīng)急處理過程。應(yīng)急響應(yīng)的主要目標(biāo)是通過快速檢測、隔離和糾正安全事件，盡量減少安全事件對組織的影響和損失。

二、基本思路流程

收集信息：收集客戶信息和中毒主機(jī)信息，包括樣本。

判斷類型：判斷是否是安全事件，何種安全事件，勒索、挖礦、斷網(wǎng)、DoS等等。

深入分析：日志分析、進(jìn)程分析、啟動項分析、樣本分析。

清理處置：直接殺掉進(jìn)程，刪除文件，打補(bǔ)丁，抑或是修復(fù)文件。

產(chǎn)出報告：整理并輸出完整的安全事件報告。

三、分析方向

1、文件分析

（1）文件變動查詢：

find / -mmin -2 (找查兩分鐘之內(nèi)文件內(nèi)容變化的文件)

（2）查詢文件最后修改時間：

ls --full-time [文件名]

（3）查詢文件哈希值

md5sum [文件名]

2、日志分析

（1）Linux系統(tǒng)日志:

/var/log下的secure、messages日志文件比較常用

cat [文件名]|grep [關(guān)鍵字]|wc -l (統(tǒng)計)

（2）Windows系統(tǒng)日志

此電腦--->右鍵點(diǎn)擊管理--->系統(tǒng)工具--->事件查看器--->Windows日志

3、進(jìn)程分析

（1）查看CPU或內(nèi)存資源占用：top

（2）查看進(jìn)程的路徑：ps -ef

（3）查看正在監(jiān)聽的端口和名字：netstat -ntplu

（4）查看開機(jī)啟動服務(wù)：systemctl list-unit-files

（5）查看服務(wù)是否在運(yùn)行：systemctl status [服務(wù)名]

（6）計劃任務(wù)：crontab -l、/etc/cron.d、/etc/crontab

（7）查看文件哈希：

Windows：certutil.exe -hashfile .\1.txt （需要用powershell）

Linux：md5sum [文件名]

4、用戶分析

Linux系統(tǒng)

（1）查看用戶：/etc/passwd、/etc/shadow

Windows系統(tǒng)

（1）查看用戶：net user、注冊表中SAM文件查看

5、網(wǎng)絡(luò)分析

（1）網(wǎng)卡配置信息

/etc/sysconfig/network-scripts

（2）查看DNS

cat /etc/resolv.conf

（3）查看網(wǎng)關(guān)：route

（4）查看監(jiān)聽端口和相關(guān)服務(wù)

6、配置分析

（1）查看Linux SE

cat /etc/selinux/config （查看是否是開機(jī)自啟動）

getenforce （查看當(dāng)前狀態(tài)）

（2）查看iptables

iptables -L

（3）查看環(huán)境變量

echo &PATH

7、監(jiān)控分析

（1）如zabbix等監(jiān)控工具

四、排查思路

1、Windows木馬入侵

排查思路：

1、可能通過網(wǎng)絡(luò)連接觀察異常端口或者IP通信

2、可以通過任務(wù)管理器，詳細(xì)信息，找到異常文件

3、通過網(wǎng)絡(luò)連接，詳細(xì)信息找到異常進(jìn)程文件，使用殺毒軟件檢測

防御：

1、開啟windows防火墻

2、安裝正版的殺毒軟件

2、Linux服務(wù)器22端口入侵

排查思路：

1、排查網(wǎng)頁修改時間

2、查看日志，分析服務(wù)器登錄時間及IP

防御：

1、服務(wù)器設(shè)置強(qiáng)密碼

2、22端口不對公網(wǎng)開放

3、使用堡壘機(jī)及指定IP登錄

3、Windows系統(tǒng)3389端口入侵

排查思路：

1、查看日志，分析服務(wù)器登錄時間及IP

2、查看用戶是否有異常

防御：

1、密碼大小寫，數(shù)字，字符不低于8位，使用強(qiáng)密碼

2、3389如非必須，不開啟個人電腦3389端口

3、如開啟3389，指定固定IP可連接

4、DNS&DHCP攻擊

Windows排查思路：

1、排查電腦本機(jī)C:\Windows\System32\drivers\etc\hosts文件

2、重啟瀏覽器，確認(rèn)是否有瀏覽器緩存

3、ipconfig /all 查看DHCP服務(wù)器及DNS服務(wù)器IP是否正確

防御：

1、網(wǎng)絡(luò)接入認(rèn)證

2、定期網(wǎng)絡(luò)掃描，是否有內(nèi)網(wǎng)IP提供DNS服務(wù)

3、交換機(jī)上把dhcp Snooping開啟，防止非法DHCP服務(wù)器

5、ARP欺騙攻擊

排查思路：

1、排查arp表

2、對比MAC地址是否有異常

防御：

1、安裝ARP防火墻

2、手動綁定MAC地址

3、網(wǎng)絡(luò)接入認(rèn)證，拒絕非實(shí)名認(rèn)證設(shè)備接入網(wǎng)絡(luò)

6、DDoS攻擊

常見的方法：

CC攻擊：攻擊者借助代理服務(wù)器生成指向受害主機(jī)的合法請求，實(shí)現(xiàn)DDoS和偽裝就叫：CC（Challenge Collapsar），CC主要用來攻擊頁面的。

SYN攻擊：SYN攻擊是黑客攻擊的手段。SYN洪泛攻擊的基礎(chǔ)是依賴TCP建立連接時三次握手的設(shè)計。

純流量攻擊：發(fā)送大量垃圾流量。

排查思路：

1、查看應(yīng)用日志（CC攻擊）

2、查看服務(wù)器網(wǎng)絡(luò)鏈接（SYN攻擊）

3、監(jiān)控查看網(wǎng)絡(luò)流量（純流量攻擊）

防御：

1、接入第三方抗DDoS云平臺

2、流量清洗文章來源地址http://www.zghlxwxcb.cn/news/detail-421573.html

到了這里，關(guān)于網(wǎng)絡(luò)安全-應(yīng)急響應(yīng)的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！