Day14:信息打点-主机架构蜜罐识别WAF识别端口扫描协议识别服务安全

本文主要是介绍Day14:信息打点-主机架构蜜罐识别WAF识别端口扫描协议识别服务安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

Web服务器&应用服务器差异性

WAF防火墙&安全防护&识别技术

蜜罐平台&安全防护&识别技术

思维导图


章节知识点

Web:语言/CMS/中间件/数据库/系统/WAF等

系统:操作系统/端口服务/网络环境/防火墙等

应用:APP对象/API接口/微信小程序/PC应用等

架构:CDN/前后端/云应用/站库分离/OSS资源等

技术:JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术:指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

Web服务器&应用服务器差异性

常见的端口对应的服务以及安全问题

通过对端口扫描可以判断出对方服务器的服务类型

中间件分为两类:Web服务器,应用服务器(比前者多开放一个端口,比如Tomacat:8009等)

端口扫描:Nmap、Masscan、网络空间
开放状态:Close Open Filtered
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan
使用参考:
https://blog.csdn.net/qq_53079406/article/details/125266331
https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan:https://www.cnblogs.com/lzy575566/p/15513726.html
考虑:1、防火墙 2、内网环境
内网环境可能出现情况:明明数据库端口开的,网站也能正常打开,但是你对目标进行端口扫描,发现数据库端口没有开放(排除防火墙问题)

因为扫描的是对方Web服务在内网中,与外界通讯通过网络出口,网络出口服务器没有开放相关端口,导致端口扫描与情况不符

Nmap扫描

配置中:Quick scan plus是快速扫描,intense scan all TCP ports 是全部端口扫描

Masscan扫描

在目录下直接输入cmd,进行调用语法:

测试一个至多个端口是否开通:masscan.exe -p 3307 47.75.212.155

测试多个端口:masscan.exe -p 1-65535 1.15.51.4

网络空间:直接查询即可

WAF防火墙&安全防护&识别技术

WAF解释:
        Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称:WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF分类:

  • 云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
  • 硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
  • 软件WAF:宝塔,安全狗、D盾等
  • 代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的

识别看图:
        拦截页面,identywaf项目内置

识别项目:
wafw00f:https://github.com/EnableSecurity/wafw00f

identywaf:https://github.com/stamparm/identYwaf

wafw00f:https://github.com/EnableSecurity/wafw00f

  • 安装:目录下打开cmd输入:python setup.py install
  • 使用:安装后打开wafwoof目录下cmd输入:python main.py https://jmhewang.com/
  • 注意:查询时候关闭代理,不然无法连接

identywaf:https://github.com/stamparm/identYwaf

  • 使用语法:python identYwaf.py https://jmhewang.com/

蜜罐平台&安全防护&识别技术

蜜罐解释:
        蜜罐是一种安全威胁的检测技术,其本质在于引诱和欺骗攻击者,并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此,我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类:
        根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类,比如:数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐产品:见下图

识别原理:https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

常见的蜜罐

蜜罐数据特征

识别技术:
0、测试
大概了解组成功能等
https://hfish.net/#/

1、项目
项目识别
https://github.com/graynjo/Heimdallr
https://github.com/360quake/quake_rs
quake.exe init apikey值
quake.exe honeypot 目标

2、人工
*端口多而有规律性
*Web访问协议就下载
*设备指纹分析(见上图)

3、网络空间
鹰图,Quake

蜜罐(Honeypot)是一种安全机制,其原理和特点为:

  • 引诱攻击: 蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域,吸引和引诱攻击者。蜜罐可以模拟各种服务和应用,如Web服务器、数据库、邮件服务器等,使其看起来像是真实系统。
  • 数据捕获: 一旦攻击者对蜜罐进行攻击,蜜罐会记录和捕获攻击行为的详细信息,包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
  • 学习和改进: 蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据,安全团队可以了解到新型威胁的特点,并相应地改进网络防御策略。
  • 欺骗和误导: 蜜罐可以欺骗攻击者,使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性,并增加攻击者被发现的可能性。
  • 实时监控: 蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐,可以提前探测到潜在的威胁,从而更及时地采取防御措施。
  • 早期警告: 蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动,防止潜在的风险。

360夸克项目识别蜜罐:

  • 安装:解压后在目录下cmd启用quake.exe
  • quake.exe init apikey值(api值需要注册360网络空间获取360网络空间测绘 — 因为看见,所以安全
  • 使用语法:quake.exe honeypot 目标

思维导图

这篇关于Day14:信息打点-主机架构蜜罐识别WAF识别端口扫描协议识别服务安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/770615

相关文章

Java异常架构Exception(异常)详解

《Java异常架构Exception(异常)详解》:本文主要介绍Java异常架构Exception(异常),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1. Exception 类的概述Exception的分类2. 受检异常(Checked Exception)

Linux上设置Ollama服务配置(常用环境变量)

《Linux上设置Ollama服务配置(常用环境变量)》本文主要介绍了Linux上设置Ollama服务配置(常用环境变量),Ollama提供了多种环境变量供配置,如调试模式、模型目录等,下面就来介绍一... 目录在 linux 上设置环境变量配置 OllamPOgxSRJfa手动安装安装特定版本查看日志在

Linux系统之主机网络配置方式

《Linux系统之主机网络配置方式》:本文主要介绍Linux系统之主机网络配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、查看主机的网络参数1、查看主机名2、查看IP地址3、查看网关4、查看DNS二、配置网卡1、修改网卡配置文件2、nmcli工具【通用

SpringCloud之LoadBalancer负载均衡服务调用过程

《SpringCloud之LoadBalancer负载均衡服务调用过程》:本文主要介绍SpringCloud之LoadBalancer负载均衡服务调用过程,具有很好的参考价值,希望对大家有所帮助,... 目录前言一、LoadBalancer是什么?二、使用步骤1、启动consul2、客户端加入依赖3、以服务

使用PyTorch实现手写数字识别功能

《使用PyTorch实现手写数字识别功能》在人工智能的世界里,计算机视觉是最具魅力的领域之一,通过PyTorch这一强大的深度学习框架,我们将在经典的MNIST数据集上,见证一个神经网络从零开始学会识... 目录当计算机学会“看”数字搭建开发环境MNIST数据集解析1. 认识手写数字数据库2. 数据预处理的

一文详解SQL Server如何跟踪自动统计信息更新

《一文详解SQLServer如何跟踪自动统计信息更新》SQLServer数据库中,我们都清楚统计信息对于优化器来说非常重要,所以本文就来和大家简单聊一聊SQLServer如何跟踪自动统计信息更新吧... SQL Server数据库中,我们都清楚统计信息对于优化器来说非常重要。一般情况下,我们会开启"自动更新

Pytorch微调BERT实现命名实体识别

《Pytorch微调BERT实现命名实体识别》命名实体识别(NER)是自然语言处理(NLP)中的一项关键任务,它涉及识别和分类文本中的关键实体,BERT是一种强大的语言表示模型,在各种NLP任务中显著... 目录环境准备加载预训练BERT模型准备数据集标记与对齐微调 BERT最后总结环境准备在继续之前,确

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Python如何获取域名的SSL证书信息和到期时间

《Python如何获取域名的SSL证书信息和到期时间》在当今互联网时代,SSL证书的重要性不言而喻,它不仅为用户提供了安全的连接,还能提高网站的搜索引擎排名,那我们怎么才能通过Python获取域名的S... 目录了解SSL证书的基本概念使用python库来抓取SSL证书信息安装必要的库编写获取SSL证书信息

讯飞webapi语音识别接口调用示例代码(python)

《讯飞webapi语音识别接口调用示例代码(python)》:本文主要介绍如何使用Python3调用讯飞WebAPI语音识别接口,重点解决了在处理语音识别结果时判断是否为最后一帧的问题,通过运行代... 目录前言一、环境二、引入库三、代码实例四、运行结果五、总结前言基于python3 讯飞webAPI语音