安全设备面试
Posted 世界尽头与你
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全设备面试相关的知识,希望对你有一定的参考价值。
【安全设备】面试
1.安全设备基础问题
ips/ids/蜜罐/waf介绍
ips
对该设备的网络流量进行分析监控,发现攻击后就会进行拦截。IPS是防火墙的重要补充,如果是防火墙是第一道防线,IPS就是第二道防线。
ids
监视记录网络中的各种攻击企图。特点就是记录,不会对攻击行为进行拦截,只能事中检测和时候追查。
蜜罐
部署一些作为诱饵的主机,诱使攻击方对蜜罐进行过攻击,对攻击方的攻击行为进行捕捉和分析,了解攻击方使用的工具和方法,从而增强增强真实系统的安全防护能力。
waf
web应用防火墙,专门针对于HTTP和https请求,对客户端的请求内容进行检测,确保其合法性和安全性,还会对非法的请求进行及时的阻断。
waf与ips区别/各种蜜罐的区别
waf与ips的区别
与IPS最大的区别在于:WAF是针对于web系统的防护,对于sql xss文件上传 csrf的防护更具有针对性,而IPS的防护面很广
低交互蜜罐,中交互蜜罐,高交互蜜罐的区别
低交互蜜罐最大的特点就是模拟,它的服务都是模拟的行为,数据不够真实。
中交互蜜罐是对真正的操作系统的各种行为的模拟,它提供了更多的交互信息,同时也可以从攻击者的行为中获取更多的信息
高交互蜜罐具有一个真实的操作系统,更加仿真。
了解的厂商硬件安全设备
1- 奇安信的天眼(流量分析和流量监控,并且可以用他的日志检索模块进行溯源。)
2- 奇安信的椒图
3- 绿盟的漏扫设备
4- 微步的蜜罐
5- 深信服的防火墙
6- 深信服的VPN
7- 奇安信的天擎(功能和界面类似于360安全卫士)
2.天眼
天眼日志检索常用的语法
1- dip -- 被攻击的ip
2- dport -- 被攻击的端口
3- sip -- 源ip
4- sport -- 源端口
5- uri -- 请求的url地址
6- data -- 请求包的正文内容
7- status -- 响应包的状态码
8- host -- 域名
如何判断告警是否是误报?
首先看下此告警,发起攻击的攻击ip是内网ip还是外网ip
1、如果是内网ip,并且告警流量请求包内有明显的恶意请求,比如请求包内有ipconfig,whoami等,那么此内网服务器即有可能失陷,会把此ip立即上报给研判组人员,让研判组人员对这个ip进行详细的分析;还有就是这个可能是被访问的这个内网系统,本身业务系统存在业务逻辑问题,因为内网所布置的很多业务系统往往不会考虑一些安全性问题,比如在正常的业务逻辑请求中直接带了sql语句,就会触发设备规则产生告警,这一类是属于误报,然后会将此告警上报给研判人员,需要研判组专家和甲方客户确认下是否是该系统存在此业务逻辑问题,并且需要确认告警的源ip在此告警的时间段附近有没有进行操作过。
2、如果是外网ip,那么就主要根据请求包和响应包的数据内容进行对比,比如请求包内有一些恶意语句,比如sql执行语句(select version 等),那么我会判定此攻击为恶意攻击。
如何处理告警
如果看到内网挖矿告警怎么处理
大部分内网挖矿告警,木马病毒都是基于情报的告警,误报率很大,很有可能是因为内部员工使用大量盗版软件以及盗版系统导致,因此无法准确判断。
但是护网期间此类告警需要谨慎处理,不放过任意一条告警,所以我会将此类告警上报到研判人员处,由研判人员再进行进一步的验证
天眼或者传感器上出现命令执行告警/Webshell告警,怎么应对
1、验证此条告警是否真的成功?(成功的话,直接就可以出报告了)
2、失败的话,判断攻击者是手工还是扫描工具批量行为?
3、进入分析平台进一步分析,查看分析平台攻击IP是否存在其他攻击行为,攻击结果如何?
4、将发现时间及攻击行为反馈给护网客户
是否攻击成功
如果看到一条sql注入告警,怎么判断是否攻击成功
根据请求包和响应包对比进行判断。比如看下请求包内是否有sql语句,如果有sql语句,并且响应包内容有执行成功的回显,那么判定sql注入攻击成功。
如果看到一条命令执行的告警,怎么判断是否攻击成功
根据请求包和响应包进行对比判断,看下请求包内是否有系统命令,比如看下请求包内是否有ipconfig,然后看下响应包回显是否有ip相关的内容,如果有的话说明攻击成功,如果没有,说明攻击未成功,但是确实也还是恶意攻击
如果看到一条xss类型告警,怎么判断是否攻击成功
根据请求包和响应包进行对比判断,看下请求包插入的脚本,在响应包内是否有,当然这样还不能准确判断是否攻击成功,再将响应包的正文复制出来,放到html后缀的文档内,用浏览器打开,看下是否有弹窗之类的。
如果看到ssrf告警,没有明显的回显,怎么判断是否攻击成功
如果能做漏洞验证的话,我会进行复现验证下。如果不能做漏洞验证的话,就查下日志看看他探测的目标有没有流量交互,如果有流量交互的话应当是攻击成功。
如果看到一条文件上传的告警,怎么判断是否攻击成功
根据请求包和响应包进行对比判断。首先看下状态码404的状态码告警可以首先筛掉,着重看下响应包状态码是200和302的状态码的。然后看下请求包内文件名是否是恶意脚本文件名称,请求包正文内容是否包含恶意脚本内容,还有就是观察下响应包
数通面试私房菜之组播专题第四期: IGMP Snooping
二层中组播数据转发的问题
组播数据在二层被泛洪,造成:
? 网络资源浪费。
? 存在安全隐患。
主机加入组播组需要向上游设备发送IGMP成员报告,这样上游设备才可以将组播报文发送给主机。由于IGMP报文是封装在IP报文内,属于三层协议报文,而二层设备不处理报文的三层信息,所以主机加组的过程二层设备并不知道,而且通过对数据链路层数据帧的源MAC地址的学习也学不到组播MAC地址(数据帧的源MAC地址不会是组播MAC地址)。
这样当二层设备在接收到一个目的MAC地址为组播MAC地址的数据帧时,在MAC地址表中就不会找到对应的表项。那么这时候,它就会采用广播方式发送组播报文,这样一来不但对网络资源造成的极大浪费而且影响网络安全。
IGMP Snooping机制的提出,解决了二层组播泛洪问题。
IGMP Snooping工作原理
? IGMP Snooping可以实现组播数据帧在数据链路层的转发和控制。
? 使能IGMP Snooping功能后,二层设备会侦听主机和路由器之间交互的IGMP报文。通过分析报文中携带的信息(报文类型、组播组地址、接收报文的接口等),建立和维护二层组播转发表,从而指导组播数据帧在数据链路层按需转发。
IGMP Snooping建立和维护二层组播转发表的过程:
1) RTA作为查询器,周期性的发送普遍组查询,该报文被扩散到交换机的所有端口,包括与交换机CPU相连的内部接口0。交换机CPU收到查询报文后,判断1号接口为连接路由器的接口。
2) Client B希望加入组播组224.1.2.3,因此以组播方式发送一个IGMP成员报告报文,报告中具有目的MAC地址0x0100.5e01.0203。最初转发表上没有这个组播MAC地址的表项,所以该报告被扩散到交换机的所有接口,包括与交换机CPU相连的内部接口0;当CPU收到Client B的IGMP报告时,CPU利用IGMP报告中的信息建立了一个转发表项,此表项包括Client B的接口号,连接路由器的接口号和连接交换机内部CPU的接口号。
3) 形成此转发表项的结果是使后面任何目的地址为0x0100.5e01.0203的组播帧都被控制在端口0、1和3,而且不向交换机其他端口扩散。
Client C加入组224.1.2.3并主动发一个IGMP报告,交换机CPU收到此报告,它在转发表项上为MAC地址0x0100.5e01.0203增加一个端口(端口4)。
以上是关于安全设备面试的主要内容,如果未能解决你的问题,请参考以下文章