DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

关于“入侵检测”的一些想法

09-17 WEB安全

离开长沙的时候写了一篇文章“左右互博:站在攻击者的角度来做防护”(freebuf上可以找到),一晃已经是三年了。这三年接触了很多东西,自己也有过很多想法,但实际上去做的却很少。花了很多时间,做了一款插件化的漏洞扫描器,这里不做介绍。这里主要介绍的是另外一个想法(这些年做的最有成就感的事情),我把它理解为真正意义上的“入侵检测”。
很多安全人员对“入侵检测”这个东西都是持吐槽的态度(记得发“使用Pfsense+Snorby构建入侵检测系统”出来后,有好些人吐槽“不觉得用nmap扫描一下  然后一大堆告警还值得牛逼  那么多告警没人看的”,印象深刻啊!),光有吐槽还不够,我们还要想着怎么去改变。只有不断的改进,这个世界才有可能不断的进步变好。
0×00、前面的废话
“入侵检测”,从字面上的意思来解释就是“对入侵行为的检测”。但目前市面上的商业产品和开源产品实际上都是对“攻击行为的检测”,入侵行为日志往往淹没在攻击行为日志里面去了,实在是有些鸡肋。
0×01、我想要成为的样子

关于“入侵检测”的一些想法


上面那张图就是我想要表达的想法(通过流量镜像,将请求数据全量保存,响应存在异常才保存)。
通过分析网络中的请求和响应,来判断漏洞的存在(攻击者前脚发现漏洞,我们可以实现实时发现,并溯源)。
正常的漏洞检测过程(将漏洞poc打向服务器,根据服务器的响应判断漏洞是否存在)。

关于“入侵检测”的一些想法


站在守护者的角度,我也能够将请求和响应拿到,然后来做判断。
0×02、效果A(发现漏洞的存在)
我目前做的是“检测http响应数据(基于关键字)”,检测出问题然后关联http请求。

关于“入侵检测”的一些想法


案例一、Directory:(目录遍历漏洞)
http响应里面出现Directory:,关联http请求,下面是部分详细数据(我把http请求头里面的字段都做了切割)。
 

关于“入侵检测”的一些想法


关于“入侵检测”的一些想法


案例二:”\system”(这是一个误报,只是攻击行为)

关于“入侵检测”的一些想法


关于“入侵检测”的一些想法


案例三、svn信息泄露漏洞

关于“入侵检测”的一些想法


案例四、远程命令执行漏洞

关于“入侵检测”的一些想法


关于“入侵检测”的一些想法


案例五、文件读取漏洞

关于“入侵检测”的一些想法


通过上面几个案例,大家会发现这种对只针对http响应做关键字匹配的检测,还是会存在一些的误报。如果对http请求也做检测,如果http请求和响应都存在异常,那基本就可以90%确定问题了。
0×03、效果B(监控文件下载行为)
我为什么想要去实现这个了?
1、  很多时候管理员部署应用的时候,都喜欢打个包上传,然后解压部署,往往忘记了删除压缩包,导致源代码泄漏。
2、  很多时候黑客攻击,想要窃取数据,也会通过打包下载的方式。
那怎么去实现“监控文件下载的行为”(这里我们只讨论http)?
其实答案很简单啦,多抓几个文件下载的数据包,看下就知道了。http响应里面有一个字段叫“Content-Type”,通过这个字段我们就可以知道文件的类型。
例如:
Content-Type 内容为“application/zip”,说明下载的文件类型为zip。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/50.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X