国产欧美精品一,毛片在线看完整版免费看,在线免播放器高清观看,加勒比东热激情无码专区

29
2022
04

如何定位局域網(wǎng)中的風(fēng)險主機?檢測到網(wǎng)內(nèi)有風(fēng)險主機怎么辦?

主管部門發(fā)出的安全風(fēng)險報告,一般只能定位到局域網(wǎng)的公網(wǎng)IP。網(wǎng)管技術(shù)人員要處理解決該安全事件,還需要定位到具體的終端電腦。這個定位工作非??简灳W(wǎng)管的技術(shù),沒有對應(yīng)的技術(shù)儲備,加上沒有合適的工具的話,你就只能一臺電腦一臺電腦的殺毒了。

如何檢測局域網(wǎng)內(nèi)感染了木馬病毒的電腦?一文中,我們介紹了如何通過WSG上網(wǎng)行為管理網(wǎng)關(guān)的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說,開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下,由于特征庫版本不一致,或者檢測技術(shù)不一樣,也可能存在并沒有檢測到的情況。這時候,我們還可以通過自定義規(guī)則的方式,來擴大檢測的內(nèi)容。在本文中,我將介紹如何自定義檢測規(guī)則。

如下圖,圖中是主管部門發(fā)出的安全風(fēng)險報告。我們可以看到,這三條記錄是通過dns來觸發(fā)的,上級部門檢測到內(nèi)網(wǎng)有終端dns解析了這些域名,所以觸發(fā)了安全報告。這個觸發(fā)是非常敏感的,舉例來說,你只要去ping一下對應(yīng)的域名,就會觸發(fā)安全事件。

202204291651219949406374.png

要在內(nèi)網(wǎng)檢測到對這些域名的dns請求,我們需要自定義入侵防御的規(guī)則。如下圖,在入侵防御的自定義規(guī)則中添加規(guī)則。

202204291651220353104055.png

要對DNS查詢進行內(nèi)容檢測,自定義規(guī)則的語法如下:


alert udp $HOME_NET any -> any 53 (msg:"detect DNS";content:"|02|gb|0a|imfirewall|03|com|00|";sid:1000005;)


content后面就是要匹配的域名,要把域名按點號拆分為不同的部分。如:abc.imfirewall.com,需要拆分為|03|abc|0a|imfirewall|03|com|00|(數(shù)字是后面字符串的長度)。每條記錄的sid不要重復(fù)。

要匹配安全報告中的三個域名,需要配置三條規(guī)則,如下圖:

202204291651222128137054.png


“編輯檢查項”并選中自定義的規(guī)則。如圖:

202204291651220403931367.png

202204291651220416138929.png


經(jīng)過上述配置后,只要有人查詢了這些域名的DNS,就可以在記錄查詢中記錄該請求。如果你的局域網(wǎng)是自動獲取IP,還可以結(jié)合“查詢統(tǒng)計”->“記錄查詢”中的“IP-MAC歷史”來獲取IP對應(yīng)的MAC地址。

202204291651222171127933.png




? 上一篇 下一篇 ?
高清亚洲精品一区二区三区| 国产免费午夜三级福利片| 日日碰久久躁77777| 182午夜福利| 国产精品国产三级国产专业 | 日产精品1区至六区有限公司| 大鸡巴插入小穴在线观看| 色婷婷视频国产一区视频| 色哟哟精品视频一区二区| 国产av一区二区三区麻豆| 无码人妻精品一区二区三区99| 亚洲日本精品麻豆一区国产| 国产无遮挡无码网站不卡| 日韩欧美国产精品亚洲二区| 国产综合手机在线视频区| 国产办公室激情高潮在线| 男生插女生下面在线免费| 99久久伊人亚洲精品亚洲| 国产精品亚洲精品一区二区| 国产97香蕉精品一区二区| 蜜臀av性久久久久蜜臀aⅴ麻豆| 欧美在线一区二区三区观看| 久久不见久久见免费视频6| 69操在线观看视频免费| 精品av国产一区二区久 | 成人夜色视频网站在线观看| 狠狠色综合网站 久久久| 欧美一区二区三区大粗爽| 欧美 日韩 一区 自拍| 蜜臀av性久久久久蜜臀aⅴ麻豆 | 国产精品成人va在线观| 国产一级毛片视频在线!| 欧美日韩午夜精品久久久| 精品少妇爆乳无码av无码专区| 一个人深夜激情在线观看| 一本一道久久a久久精品| 久久久亚洲欧洲日产国码农村| 米奇777四色精品人人爽| 国产女爽爽视频精品免费| 久久综合日韩精品色亚洲| 国产成人不卡在线观看视频|