记一次应急响应

文章预览

扫码领资料 获网安教程 文章来源: https: //forum.butian.net/share/935 一次攻击流量结合源码泄露的及时应急处置 前言 最近恰好在参加攻防演练，作为防守方，设备还是布置在内网环境当中，一有风吹草动总是会心惊胆颤，前几天还算是没什么较大的攻击事件；在第五天突然接到了通知，被告知内部生产网的机器有异常外连的情况，下面就好好讲讲本次一波三折的应急响应。 处置 1.接到通知时马上和技术人员协商，将被攻击服务器的应用服务进行关停 2.根据演习总防那边给到的一些流量包和监测到的异常数据包进行分析 根据UDP流可以判断攻击者在尝试将信息带出到DNSLOG，由此来判断该台机器出不出网 对外网监控设备上捕获的攻击数据包进行分析 从上面的数据包中可以定位到攻击的路径，根据数据包响应可以确定攻击者成功进行了类似文件写入的操作 ………………………………