问:大约在上个月,我遇到了一次常规的内核入侵攻击,而且很明显的是这次攻击来自世界各地许多不同的IP。现在,我正从路由器防火墙安全日志中获取相关的信息。在这些攻击中,偶尔也有扫描和登陆攻击。经过调查,ISP建议我将此事报告给警察机关负责电子犯罪的部门,我已经这样做了。
不过,我认为他们也无能为力。 虽然ISP的确将我的动态IP改为一个静态IP了,但这些攻击仍在继续。我把LAN组件上运行的反病毒和反间谍软件彻底检查了一遍,都没有找到有关攻击的记录。我的电脑开启了ESET杀毒软件,我还有一台本地服务器,但我在变更IP地址时该服务器并没有联网。
这些攻击究竟是怎样发生的?请问你有什么建议来解决此问题吗……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:大约在上个月,我遇到了一次常规的内核入侵攻击,而且很明显的是这次攻击来自世界各地许多不同的IP。现在,我正从路由器防火墙安全日志中获取相关的信息。在这些攻击中,偶尔也有扫描和登陆攻击。经过调查,ISP建议我将此事报告给警察机关负责电子犯罪的部门,我已经这样做了。不过,我认为他们也无能为力。
虽然ISP的确将我的动态IP改为一个静态IP了,但这些攻击仍在继续。我把LAN组件上运行的反病毒和反间谍软件彻底检查了一遍,都没有找到有关攻击的记录。我的电脑开启了ESET杀毒软件,我还有一台本地服务器,但我在变更IP地址时该服务器并没有联网。这些攻击究竟是怎样发生的?请问你有什么建议来解决此问题吗?
答:只检查了路由器防火墙日志记录,为什么你就认为出了问题呢?从这些攻击中,你发现系统存在什么问题?听起来好像日志中的大多数记录都是有关阻断攻击的通知。你一直没有得到警察部门的任何回应,原因可能是因为你并没有拿出任何受到伤害、损失或实际入侵的证据。如果攻击者针对的不是你或你的IP地址,不管是用动态IP还是静态IP都不会阻止这类内核入侵攻击。
最可能的攻击目标是大量的IP或网络,所以改变你的IP并不会让攻击者停止扫描,他们最终会扫描到你的新IP。
如果你仍然认为你的系统是攻击目标,或者具备内核入侵攻击的其它证据,下一步就应该更深入地分析网络流量。如果你不想使用当前的反恶意软件,或者在安全模式下扫描系统,那么你可以监测意外的网络流量,从而帮助你判断系统是否存在阻止反恶意软件发挥作用的恶意软件。
请确保你有适当的权限来监测自己的网络。有许多开源工具可以用于网络监控,只需在一台未使用的计算机上运行装有启动程序的Live CD即可。你可能想要对网络进行连续几天的监视,以便获得较好的流量分析样本,可是捕获的流量越多,分析数据所花费的精力就越多。在某台电脑不用时,请监测是否有网络流量产生。从中很可能会发现一些流向微软的流量、反恶意软件供应商进行更新的流量,或给新的反恶意软件进行定义的流量,或其它类似的正当后台操作。在刚开始的时候,你可能想在短时间内获得一定的网络流量,然后再慢慢加大监控力度。你需要为进行监测的计算机做个镜像,或者获得流量的复本,以便对流量进行分析,并判断自己的网络上是否在传输可疑的数据。
翻译
相关推荐
-
企业如何提高数据泄露检测能力?(二)
当涉及数据泄露检测时,有很多原因可能造成企业的失败,这意味着并没有万能解决方案来解决这个问题,企业必须部署各种安全控制。
-
企业如何提高数据泄露检测能力?(一)
多年来,企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击,但却没有对数据泄露检测投资太多。
-
应用开源工具监控企业局域网安全:配置及使用
Cacti是一个随着时间推移(时间序列数据)用图表显示系统和网络信息的网络监测工具,并提供一个全功能的Web界面,可以浏览和检查网络设备的实时性能。
-
企业如何从连续安全监控中获益(二)
在考虑哪些现有工具可用于连续安全监控时,请注意,这些工具不能作为专用CSM系统的长期替代方案,而只是暂时替代。