事件处理概述--PAWSS基础模块 0621

绿盟网站安全监测服务的功能

脆弱性检测：网站漏洞扫描 安全通告

可用性检测：网站平稳度检测 网页测速 域名解析监测

完整性监测：网页挂马监测 网页篡改监测 敏感内容监测

认证检测：钓鱼网站监测

重点：基本监控原理

      事件处理流程

网络基础

平稳度模块

DNS模块

篡改模块

挂马模块

osi参考模型

具体7层            数据格式        功能与连接方式                    典型设备

应用型application                   网络服务与使用者应用程序

之间的一个接口

表示层presentation                  数据表示 数据安全 数据压缩

会话层session                       建立管理和终止会话

传输层transport    数据组织成数据段  用一个寻址机制来表识一个

特定的 应用程序（端口号）

网络层network     分割和重新组合数据包  基于ip地址进行不同网络系统    路由器

packet              间的路径选择

数据链路层       将比特流封装成数据帧   用MAC地址来寻址                网桥 交换机 网卡

data lnk

物理层physical    传输比特流           建立 维护和取消物理链接        光纤 同轴电缆

ip（ipv6） 在网络上标识主机

域名  baidu.com 主域名

www.baidu.com 二级域名

bbs.baidu.com  二级域名

DNS（domain name system）域名系统  域名和ip相互映射 迭代查询

在网络上会有不同角色安全价值的破坏

扫描器产品定位

web扫描：web应用 第三方web组件 web服务

系统扫描：数据库 应用程序 操作系统 基础网络

网站入侵-web漏洞发现-跨站泄漏-信息泄露-sql注入-信息窃取-网页篡改

如何改变现状： web扫描器

黑客攻击最根本依据在于发现，利用web漏洞

先于黑客发现并修复web漏洞，始终是治本的最佳方法

自动化的web漏洞检查工具--web扫描器

Dos(denial of service) 拒绝服务 属于攻击早期形态

DDos分布式拒绝服务 当前主流攻击手段 主要消耗网络带宽，消耗主机资源 ，利用主机发起攻击

ddos主要是黑客通过命令去阻塞沿途带宽，攻击基础网络设施（使合法使用者没有带宽，访问的域名不能通过DNS访问最终的服务器），通过DNS域名解析系统访问到要攻击的服务器

平稳度模块

超文本传输协议

http是如何工作的

cp建立连接--发送请求信息--server--发送响应信息--cp端关闭连接

平稳度事件类型：连接断通 连接延时 异常返回码 波动

http响应状态码： 1xx 指示信息 表示请求已接收，继续处理

2xx 成功     表示请求已被成功接收 理解 接收

3xx 重定向   要完成请求必须进行更进一步的操作

301 永久重定向

302 暂时性转移

4xx 客户端错误  请求有语法错误或者请求无法实现

400 Bad Request 客户端请求有语法错误

403 Forbidden   服务器收到请求 但是拒绝提供服务

404 Not Found   请求资源不存在 eq：输入了错误的URL

5xx  服务器端错误   服务器未能实现合法的请求

500 Internal server error 服务器发生不可预期的错误

503 server unavailable 服务器当前不能处理客户端的请求 一段时间后可能恢复正常

验证小工具 ping telnet curl

ping -t 域名/ip   测试主机是否存活  ping www.baidu.com  ping 172.25.254.1

telnet 主机名/ip 端口  判断端口是否开放   telnet -antlpe | grep mysql/3306

curl -v 域名 显示向服务器发送的所有命令

curl -I 域名 仅显示header

常见端口  80  HTTP   用于网页浏览

443 HTTPS  提供加密和安全传输的另一种HTTP

21  FTP    用于上传 下载

23  TELNET  远程登录

25  SMTP    用于发送邮件

8080  http   用于网页浏览 被用于www代理服务器

traceroute监测发出数据包到目标主机所经过的路由工具

平稳度监测验证流程

手动访问   点击“验证”按钮

备注要求

看协议     http https tcp ping

浏览器直接访问   http  https/ie chrome firefox/wap

查看‘相关事件’

辅助判断工具

重点客户 （国家信访局 民生银行 移动类客户 ）

网页测速  从各省运营商网络路线远程实时监测目标网页页面元素的加载速度，一旦发现网页加载速度超过用户设置阈值 ，第一时间通知客户

网页测速其实就是对网页的元素做监控 zabbix cacti

网页测速服务的开启

录入授权 PAWSS-PS

选择测速各地监测点  3个监测点 IDC&LastMile

添加测速关键页面    测试客户仅提供主页测速服务，最多不超过5个关键页面

DNS模块

ALIAS 域名的别名

NS  授权域服务器

SOA 起始授权记录

mname（主服务器）当前区的数据源服务器

rname （负责人邮箱）  当前区负责人的邮箱

邮件  指的是邮件服务器

dig命令集   dig www.126.com      查询www.126.com的A记录

dig www.126.com @212.89.34.20 在212.89.34.20服务器上查询www.126.com的记录

dig www.126.com +trace  跟踪一个域名解析的过程

清除本地DNS缓存

ipconfig

ipconfig /?

ipconfig /all

ipconfig /displaydns 查看本机的DNS缓存列表

ipconfig /flushdns   清除本地DNS缓存命令

指定服务器进行解析 nslookup

nslookup /?

nslookup -qt=类型  目标域名 指定的DNS服务器IP或域名

eq：nslookup -qt=A   域名8.8.8.8

DNS监测验证流程

“dig”按钮 手动dig

备注要求

查看“相关事宜”

辅助判断工具（监控宝 阿里测 17CE）

看域名能否正常访问

重点客户（招商银行 华夏基金）

篡改模块

什么是篡改 篡改=写权限

篡改--目的性--显示结果

爬虫又称为网页蜘蛛 可以抓取网络上的脚本和信息

关键页面   1爬虫  深度爬虫pycurl  搜索引擎google/baidu

2手动添加

网页篡改监测验证流程

手动访问 “查看详情”按钮 下载场景文件

备注要求

查看“相关事宜”

重点客户（国信证券）

挂马模块

网马     网马类型： 1系统漏洞  浏览器漏洞 各种组件漏洞

                   2软件漏洞  flash播放器 浏览器插件 office漏洞 其他应用软件

制作木马 ---植入网页木马

木马又称为木马病毒 是通过特殊程序通过一台电脑控制另一台电脑

挂马过程   制作木马-木马免杀-制作网页木马-入侵网站-植入网页木马