事件處理概述--PAWSS基礎模塊 0621

綠盟網站安全監測服務的功能

    脆弱性檢測：網站漏洞掃描 安全通告

    可用性檢測：網站平穩度檢測 網頁測速 域名解析監測

    完整性監測：網頁掛馬監測 網頁篡改監測 敏感內容監測

    認證檢測：釣魚網站監測

重點：基本監控原理

      事件處理流程

網絡基礎 

平穩度模塊

DNS模塊

篡改模塊

掛馬模塊

osi參考模型

具體7層            數據格式        功能與連接方式                    典型設備

應用型application                   網絡服務與使用者應用程序

                                    之間的一個接口

表示層presentation                  數據表示 數據安全 數據壓縮

會話層session                       建立管理和終止會話

傳輸層transport    數據組織成數據段  用一個尋址機制來表識一個

                                        特定的 應用程序（端口號）

網絡層network     分割和重新組合數據包  基于ip地址進行不同網絡系統    路由器

                    packet              間的路徑選擇

數據鏈路層       將比特流封裝成數據幀   用MAC地址來尋址                網橋 交換機 網卡

data lnk                     

物理層physical    傳輸比特流           建立 維護和取消物理鏈接        光纖 同軸電纜

ip（ipv6） 在網絡上標識主機

域名  baidu.com 主域名

      www.baidu.com 二級域名

      bbs.baidu.com  二級域名

DNS（domain name system）域名系統  域名和ip相互映射 迭代查詢 

在網絡上會有不同角色安全價值的破壞

掃描器產品定位

    web掃描：web應用 第三方web組件 web服務

    系統掃描：數據庫 應用程序 操作系統 基礎網絡

網站***-web漏洞發現-跨站泄漏-信息泄露-sql注入-信息竊取-網頁篡改

如何改變現狀： web掃描器

              ******最根本依據在于發現，利用web漏洞

              先于***發現并修復web漏洞，始終是治本的最佳方法

              自動化的web漏洞檢查工具--web掃描器

Dos(denial of service) 拒絕服務 屬于***早期形態

DDos分布式拒絕服務 當前主流***手段 主要消耗網絡帶寬，消耗主機資源 ，利用主機發起*** 

ddos主要是***通過命令去阻塞沿途帶寬，***基礎網絡設施（使合法使用者沒有帶寬，訪問的域名不能通過DNS訪問最終的服務器），通過DNS域名解析系統訪問到要***的服務器

平穩度模塊

超文本傳輸協議

    http是如何工作的       

        cp建立連接--發送請求信息--server--發送響應信息--cp端關閉連接

平穩度事件類型：連接斷通 連接延時 異常返回碼 波動

http響應狀態碼： 1xx 指示信息 表示請求已接收，繼續處理

                 2xx 成功     表示請求已被成功接收 理解 接收

                 3xx 重定向   要完成請求必須進行更進一步的操作

                        301 永久重定向

                        302 暫時性轉移

                 4xx 客戶端錯誤  請求有語法錯誤或者請求無法實現

                        400 Bad Request 客戶端請求有語法錯誤

                        403 Forbidden   服務器收到請求 但是拒絕提供服務

                        404 Not Found   請求資源不存在 eq：輸入了錯誤的URL

                 5xx  服務器端錯誤   服務器未能實現合法的請求

                        500 Internal server error 服務器發生不可預期的錯誤

                        503 server unavailable 服務器當前不能處理客戶端的請求 一段時間后可能恢復正常

驗證小工具 ping telnet curl

           ping -t 域名/ip   測試主機是否存活  ping www.baidu.com  ping 172.25.254.1

           telnet 主機名/ip 端口  判斷端口是否開放   telnet -antlpe | grep mysql/3306

           curl -v 域名 顯示向服務器發送的所有命令

           curl -I 域名 僅顯示header

常見端口  80  HTTP   用于網頁瀏覽

          443 HTTPS  提供加密和安全傳輸的另一種HTTP

          21  FTP    用于上傳 下載

          23  TELNET  遠程登錄

          25  SMTP    用于發送郵件

          8080  http   用于網頁瀏覽 被用于www代理服務器

traceroute監測發出數據包到目標主機所經過的路由工具

平穩度監測驗證流程

    手動訪問   點擊“驗證”按鈕

    備注要求

    看協議     http https tcp ping 

    瀏覽器直接訪問   http  https/ie chrome firefox/wap

    查看‘相關事件’

    輔助判斷工具

    重點客戶 （××× 民生銀行 移動類客戶 ）

網頁測速  從各省運營商網絡路線遠程實時監測目標網頁頁面元素的加載速度，一旦發現網頁加載速度超過用戶設置閾值 ，第一時間通知客戶 

網頁測速其實就是對網頁的元素做監控 zabbix cacti

網頁測速服務的開啟

    錄入授權 PAWSS-PS

    選擇測速各地監測點  3個監測點 IDC&LastMile

    添加測速關鍵頁面    測試客戶僅提供主頁測速服務，最多不超過5個關鍵頁面

DNS模塊

ALIAS 域名的別名

NS  授權域服務器

SOA 起始授權記錄

    mname（主服務器）當前區的數據源服務器

    rname （負責人郵箱）  當前區負責人的郵箱

郵件  指的是郵件服務器

dig命令集   dig www.126.com      查詢www.126.com的A記錄

            dig www.126.com @212.89.34.20 在212.89.34.20服務器上查詢www.126.com的記錄

            dig www.126.com +trace  跟蹤一個域名解析的過程

清除本地DNS緩存

             ipconfig

             ipconfig /?

             ipconfig /all

             ipconfig /displaydns 查看本機的DNS緩存列表

             ipconfig /flushdns   清除本地DNS緩存命令

指定服務器進行解析 nslookup

                    nslookup /?

                    nslookup -qt=類型  目標域名 指定的DNS服務器IP或域名

                    eq：nslookup -qt=A   域名8.8.8.8

DNS監測驗證流程

    “dig”按鈕 手動dig

    備注要求

    查看“相關事宜”

    輔助判斷工具（監控寶 阿里測 17CE） 

    看域名能否正常訪問

    重點客戶（招商銀行 華夏基金）

篡改模塊

什么是篡改 篡改=寫權限

篡改--目的性--顯示結果

爬蟲又稱為網頁蜘蛛 可以抓取網絡上的腳本和信息

關鍵頁面   1爬蟲  深度爬蟲pycurl  搜索引擎google/baidu

           2手動添加

網頁篡改監測驗證流程

    手動訪問 “查看詳情”按鈕 下載場景文件

    備注要求

    查看“相關事宜”

    重點客戶（國信證券）

掛馬模塊

網馬     網馬類型： 1系統漏洞  瀏覽器漏洞 各種組件漏洞

                   2軟件漏洞  flash播放器 瀏覽器插件 office漏洞 其他應用軟件

制作*** ---植入網頁***

***又稱為***病毒 是通過特殊程序通過一臺電腦控制另一臺電腦

掛馬過程   制作***-***免殺-制作網頁***-***網站-植入網頁***