#这周开始网络流量分析的系列分享
tags: 没有分类,
这周开始网络流量分析的系列分享 简单来说,攻击行为都会产生网络流量(侧信道攻击另谈,以后分享),许多从主机防护层面看起来再隐蔽的攻击行为,从网络流量层面上来看都非常明显,举个比较极端的栗子:某黑客拿0day打下一台服务器种了个免杀马。这个场景下大部分安防设备都无效,但是如果上了网络流量分析,你会发现那个免杀马发出的心跳包是多么明显,0day利用的过程每一条指令都在数据包中显露无遗。很容易就定位到问题机器,然后走常规流程处理。
工欲善其事,必先利其器。推我日常用的神器之一,科来网络分析系统下载科来网络分析系统技术交流版+-+科来"/ 技术交流版是免费的
一个国内厂商做的,数据包的分类和展示都要比Wireshark直观,可以实时抓包分析也可以导入数据包回放分析,大伙儿先下来玩玩熟悉一下功能,官网也有非常详细的模块说明和几个案例,后续我会分享用如何通过网络流量分析发现常见的攻击行为
