识别入侵痕迹
有一些事情可能导致生成警报。本次列出的活动并不一定提示发生了攻击,但如果IDS做出了标示,仍然应该进行检查。
主机系统入侵
这些迹象可能表明对特定主机的入侵。
- 未知文件、文件属性被更改及/或系统文件被更改
- 不明或无法简单确定用途的新文件或文件夹。新文件的出现可能是攻击的信号,该攻击可能是可篡改系统、甚至蔓延到该主机所连接的网络的恶意软件。
- 存在创建时无记录的新用户账户。
- 新的应用程序
- 不明原因或异常的进出系统的流量。
- 防病毒应用程序被禁用
- 防火墙软件被禁用
- 未知或不明原因的文件修改
- 未知文件扩展名
- 奇怪的文件名
- 特权非正常使用
同样,谨记这份清单绝非详尽无遗,应只将其视为可能提示潜在的攻击或破坏活动的示例,请记住,这些活动也可能表明没有任何问题。
统一威胁管理
在渗透测试中,统一威胁管理(Unifind Threat Management, UTM)是一个必须考虑的重要的事项,它是指使用一种能够执行通常由多个独立服务或设备处理的任务的单一设备或系统。
UTM背后的概念是简化网络安全措施的管理,提高效率。其理念是,通过将几种控制机制集成到一个设备中,所有机制的数据共享和交互,将比这些设备各自为战时更加有效。而且,很多此类设备的用户乐见只需要购买和管理一台设备而不是多台设备所带来的持有成本降低。
通常可以逾期UTM机制有何功能?
- 防火墙
- IDS或IPS
- 防病毒软件
- 反恶意软件
- 电子邮件管理
- 代理
- 内容过滤器
这些设备有多高效?他们可以非常有效的保护网络,阻断不速之客,但还有一些需要考虑的潜在问题。首先,此类设备是网络的第一道防线,因此需要仔细选择和配置这些设备,以确保能够提供恰当的保护;第二,此类设备意味着一个单点故障,因此为预防他们发生故障,应制定一个描述如何处理该问题的策略;第三,由于多个供能合并成单个设备,因此必须正确管理总体的处理性能和流量负载,否则,UTM可能在大量的负载下“屈服”。
从渗透测试的角度来看,这些设备是一个有趣的挑战。实际上,在执行扫描和枚举时,必须注意任何可探测出隐藏在IP地址后的UTM设备的信息。注意那些标识自身的服务、寻找不寻常的端口、拉取banner信息,并找到那些可用于确定对抗对象的细节信息为目标,进行仔细的侦查。在了解设备的特征后,就可以确定哪些技术能够起作用或者效果更好。
网络入侵的指标
下列种种都是潜在网络攻击或入侵的迹象:
- 增长且不明原因的网络带宽使用
- 网络上的系统上的探测器或服务
- 来自未知来源或非本地IP的连接请求
- 来自远程主机的反复登录测试
- 日志文件中不明原因或无法解释的消息
- 连接到非标准端口
- 异常流量
- 异常的流量模式
- 处于混杂模式的网络适配器
- 对顺序IP地址的扫描
- 对连续范围端口的扫描
- 对DNS服务器的大流量访问
和前文所述的针对主机的入侵一样,这些攻击都不一定是攻击;但如果从NIDS收到警报,就应该对其进行检查。
入侵的模糊迹象
重要的是要认识到并不是任何事情都是攻击的迹象,因此必须仔细研究那些可疑的事件。
- 修改系统软件和配置文件
- 日志丢失或具有不正确权限或所有权的日志
- 系统崩溃或重启
- 系统审计中缺失内容
- 不熟悉的进程
- 使用位置登录信息
- 在非工作时间登录
- 存在新的用户账户
- 系统审计文件中缺失内容
- 系统性能降低
- 不明原因的系统重启或崩溃