你可能已經身為一個中堅的網管了,佈置下各種天羅地網,確保你的世界安全無虞,沒有駭客可以惡搞
嗯?真的就這樣了嗎?
前一章反監控 我們已經提到很多使用者如何繞過我們的保護機制,但駭客也會使用相同的手段,而且更加隱密。我們該怎麼面對這道高一尺魔高一丈的態勢?
這不是傳統的課程,請不要來“聽課”,腦袋硬梆梆的是做不好資安的,請不吝跟大家分享想法
另外如果你已經有相當經驗,可以跳過這堂課,但也歡迎來聊天
授權方式 CC: BY-SA
黑魔法防禦術 FB群組 => https://www.facebook.com/groups/308549376151517
前一章 反監控
待補
好喔,我們透過了這麼多方式來偵測、迴避、混淆我們的通訊,那網管不就要哭哭了?
嘿嘿嘿,有些東西,是躲不掉的
- IP List
- DNS Log
- Tor
- domain有時會有一些特徵可以看....
SSL、SSH、VPN、OpenVPN、Proxy、DNS Tunnel、Teamviewer、RDP
好吧,我看不出來這份443流量到底是VPN還是HTTPS瀏覽
那我連上去看看不就知道了?
或許我看不懂裡面的內容,但我知道這肯定有什麼地方怪怪的
- VPN流量特性:單一目標穩定傳輸、流量可小可大
- DNS/ICMP VPN:會製造過大量的端點對端點DNS/ICMP流量
- P2P流量特徵
- Server流量特徵
- 如果網域/IP在黑白名單內,就照表處理
- 如果這個協議看得懂,就過濾
- 如果這個協議有加密且可破解,丟去拆解逆向
- 如果這個協議有加密且無法破解,Drop
- 如果看不出這個協議是什麼,交給協議探測器去探測伺服端,如果確定是加密,則阻斷
- 如果還是看不出,則進入流量分析階段
- 如果流量穩定且目標國外,開始隨機丟包
- 如果流量且超過門檻值,阻斷目標IP
- 隨機派人抽查處理
還是老話,先分區段
Guest
流量特徵:什麼鬼都有
實體隔離務必做好
適度的數據分析
Office
流量特徵:大量對外網頁瀏覽、內部營運系統操作
防火牆規則
Server Farm
流量特徵:對內/對外服務、系統更新
防火牆規則
Developer
流量規則:這邊可難管了(笑
推薦比照Production做一套Server給他們,然後比照Guest弄成隔離網路,並做好監控機制