作者:jason---zhu | 来源:互联网 | 2023-01-24 16:45
绿盟网站安全监测服务的功能
脆弱性检测:网站漏洞扫描 安全通告
可用性检测:网站平稳度检测 网页测速 域名解析监测
完整性监测:网页挂马监测 网页篡改监测 敏感内容监测
认证检测:钓鱼网站监测
重点:基本监控原理
事件处理流程
网络基础
平稳度模块
DNS模块
篡改模块
挂马模块
osi参考模型
具体7层 数据格式 功能与连接方式 典型设备
应用型application 网络服务与使用者应用程序
之间的一个接口
表示层presentation 数据表示 数据安全 数据压缩
会话层session 建立管理和终止会话
传输层transport 数据组织成数据段 用一个寻址机制来表识一个
特定的 应用程序(端口号)
网络层network 分割和重新组合数据包 基于ip地址进行不同网络系统 路由器
packet 间的路径选择
数据链路层 将比特流封装成数据帧 用MAC地址来寻址 网桥 交换机 网卡
data lnk
物理层physical 传输比特流 建立 维护和取消物理链接 光纤 同轴电缆
ip(ipv6) 在网络上标识主机
域名 baidu.com 主域名
www.baidu.com 二级域名
bbs.baidu.com 二级域名
DNS(domain name system)域名系统 域名和ip相互映射 迭代查询
在网络上会有不同角色安全价值的破坏
扫描器产品定位
web扫描:web应用 第三方web组件 web服务
系统扫描:数据库 应用程序 操作系统 基础网络
网站***-web漏洞发现-跨站泄漏-信息泄露-sql注入-信息窃取-网页篡改
如何改变现状: web扫描器
******最根本依据在于发现,利用web漏洞
先于***发现并修复web漏洞,始终是治本的最佳方法
自动化的web漏洞检查工具--web扫描器
Dos(denial of service) 拒绝服务 属于***早期形态
DDos分布式拒绝服务 当前主流***手段 主要消耗网络带宽,消耗主机资源 ,利用主机发起***
ddos主要是***通过命令去阻塞沿途带宽,***基础网络设施(使合法使用者没有带宽,访问的域名不能通过DNS访问最终的服务器),通过DNS域名解析系统访问到要***的服务器
平稳度模块
超文本传输协议
http是如何工作的
cp建立连接--发送请求信息--server--发送响应信息--cp端关闭连接
平稳度事件类型:连接断通 连接延时 异常返回码 波动
http响应状态码: 1xx 指示信息 表示请求已接收,继续处理
2xx 成功 表示请求已被成功接收 理解 接收
3xx 重定向 要完成请求必须进行更进一步的操作
301 永久重定向
302 暂时性转移
4xx 客户端错误 请求有语法错误或者请求无法实现
400 Bad Request 客户端请求有语法错误
403 Forbidden 服务器收到请求 但是拒绝提供服务
404 Not Found 请求资源不存在 eq:输入了错误的URL
5xx 服务器端错误 服务器未能实现合法的请求
500 Internal server error 服务器发生不可预期的错误
503 server unavailable 服务器当前不能处理客户端的请求 一段时间后可能恢复正常
验证小工具 ping telnet curl
ping -t 域名/ip 测试主机是否存活 ping www.baidu.com ping 172.25.254.1
telnet 主机名/ip 端口 判断端口是否开放 telnet -antlpe | grep mysql/3306
curl -v 域名 显示向服务器发送的所有命令
curl -I 域名 仅显示header
常见端口 80 HTTP 用于网页浏览
443 HTTPS 提供加密和安全传输的另一种HTTP
21 FTP 用于上传 下载
23 TELNET 远程登录
25 SMTP 用于发送邮件
8080 http 用于网页浏览 被用于www代理服务器
traceroute监测发出数据包到目标主机所经过的路由工具
平稳度监测验证流程
手动访问 点击“验证”按钮
备注要求
看协议 http https tcp ping
浏览器直接访问 http https/ie chrome firefox/wap
查看‘相关事件’
辅助判断工具
重点客户 (××× 民生银行 移动类客户 )
网页测速 从各省运营商网络路线远程实时监测目标网页页面元素的加载速度,一旦发现网页加载速度超过用户设置阈值 ,第一时间通知客户
网页测速其实就是对网页的元素做监控 zabbix cacti
网页测速服务的开启
录入授权 PAWSS-PS
选择测速各地监测点 3个监测点 IDC&LastMile
添加测速关键页面 测试客户仅提供主页测速服务,最多不超过5个关键页面
DNS模块
ALIAS 域名的别名
NS 授权域服务器
SOA 起始授权记录
mname(主服务器)当前区的数据源服务器
rname (负责人邮箱) 当前区负责人的邮箱
邮件 指的是邮件服务器
dig命令集 dig www.126.com 查询www.126.com的A记录
dig www.126.com @212.89.34.20 在212.89.34.20服务器上查询www.126.com的记录
dig www.126.com +trace 跟踪一个域名解析的过程
清除本地DNS缓存
ipconfig
ipconfig /?
ipconfig /all
ipconfig /displaydns 查看本机的DNS缓存列表
ipconfig /flushdns 清除本地DNS缓存命令
指定服务器进行解析 nslookup
nslookup /?
nslookup -qt=类型 目标域名 指定的DNS服务器IP或域名
eq:nslookup -qt=A 域名8.8.8.8
DNS监测验证流程
“dig”按钮 手动dig
备注要求
查看“相关事宜”
辅助判断工具(监控宝 阿里测 17CE)
看域名能否正常访问
重点客户(招商银行 华夏基金)
篡改模块
什么是篡改 篡改=写权限
篡改--目的性--显示结果
爬虫又称为网页蜘蛛 可以抓取网络上的脚本和信息
关键页面 1爬虫 深度爬虫pycurl 搜索引擎google/baidu
2手动添加
网页篡改监测验证流程
手动访问 “查看详情”按钮 下载场景文件
备注要求
查看“相关事宜”
重点客户(国信证券)
挂马模块
网马 网马类型: 1系统漏洞 浏览器漏洞 各种组件漏洞
2软件漏洞 flash播放器 浏览器插件 office漏洞 其他应用软件
制作*** ---植入网页***
***又称为***病毒 是通过特殊程序通过一台电脑控制另一台电脑
挂马过程 制作***-***免杀-制作网页***-***网站-植入网页***