网络安全分析案例(真实案例)

网络安全真实案例

作为安全工程师的你,想发现有谁在攻击我,还原攻击过程并且取证么? 作为立志成为网络技术大拿的你,想在学习理论知识的同时,了解实战中会遇到的哪些问题,这些问题用什么样的思路去解决么?如果以上答案为Yes,那么《CSNA网络分析经典实战案例》就是你的菜,以下内容全是网络安全真实案例。
网络攻击行为和正常的业务访问行为是不一样的,任何网络攻击都会产生网络流量,就必定留下痕迹,这些痕迹就隐藏在网络流量数据中。通过网络分析技术能够发现异常行为,还原攻击事件; 网络分析是信息安全和业务保障十分有效的手段和方法。
本书中的案例来源于CSNA网络分析认证专家的工作实践,每一个案例都非常具有代表性,每一个案例都有可能在各用户单位的网络中重现,值得广大网络运维管理人员及网络安全部门在实际工作中借鉴。

如何找出内网主机被控

这是一个非常重要的问题,内网哪些主机被控了。我们知道,入侵者对服务器的攻击几乎都是从扫描开始的。攻击者首先判断服务器是否存在,进而探测其开放的端口和存在的漏洞,然后根据扫描结果采取相应的攻击手段实施攻击。通常防火墙等安全设备,会拦截来自外部的扫描攻击,但是内部主机被控并对外进行扫描而进行渗透攻击,传统安全手段往往不能及时发现,也就起不到防护作用。

这时,如果拥有网络回溯分析技术的支持,通过对底层数据包的回溯分析,攻击的来龙去脉,便可一目了然。

如何发现内网主机被植入后门

在某政府单位进行的一次网络安全分析测试工作中,科来网络全流量分析系统 (简称“TSA”)通过对前段事件的网络流量进行全流量回溯分析,发现了内网主机/服务器被植入后门程序,在内网进扩散的行为。黑客通过技术手段绕过了防火墙、IPS等网络防御边界设备,主机服务器被控后黑客窃取了大量资料。如果不及时发现、阻断黑客窃密行为,那将造成难以估计的损失。值得思考的是为什么这些传统的网络安全设备无法发现黑客的攻击窃密行为?

如何找出伪造数据的内网主机

内网的主机一旦被黑客控制,就可以伪造网络数据进行攻击,扰乱安全管理人员,如果只是通过安全日志分析,是很难定位问题主机的。对于网页访问速度缓慢或断断续续无法访问的情况,我们短时间内无法确定是网络故障、网络性能还是网络安全问题,如果排查网络问题的方向出现偏差,往往耗时费力。网络分析技术帮助用户透过现象看到本质,达到事半功倍的效用。

如何发现内部服务器被Struts2漏洞攻击

新的系统漏洞出现,必然会有存在漏洞利用的情况。在没有进行系统升级和打补丁的情况下,如何判断网络中的主机被攻击了呢?
我们来看看,Struts2是Apache项目下的一个Web框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站等。2016年4月,攻击者利用Struts2漏洞远程执行任意命令导致网站被安全入侵控制。这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模的Struts2安全漏洞。乌云平台收到100多家网站的相关漏洞报告,其中银行占了很大比例。

陆续更新网络安全分析真实案例,欢迎关注科来网络分析技术分享!