安全产品学习

Posted by Mr.Be1ieVe on Tuesday, April 20, 2021

方向

先明确方向还是得看招的人的,已知部分方向为:

  • 入侵检测(基于主机的HIDS和基于网络的NIDS)
  • 蜜罐
  • waf
  • 防火墙
  • 日志与审计安全
  • 漏洞扫描系统(web、软件、iot等)
  • 端点检测和响应解决方案 (EDR)和端点保护平台(EPP)

下面的可以看来了解一下

入侵检测(基于主机的HIDS和基于网络的NIDS)

内容有所参考你需要得开源入侵检测系统都在这里

  1. NIPS snort3/snort3: Snort++
  • C++ 94.9%
  • 免费付费区别是过滤规则,免费的规则来自于社区

体系结构: Paste_Image.png

  • 数据包嗅探模块,主要负责监听网络数据包,并根据TCP/IP协议解析数据包。
  • 预处理模块,1.包重组预处理器,它的作用是为了防止攻击信息被拆分到多个包中而 逃避了Snort的检测;2.协议编码预处理器,它的功能是把数据包协议解码成一个统一的格式,再传送给检测模块;3.协议异常检测预处器。
  • 检测引擎模块,当预处理器把数据包送过来后,检测引擎将这些数据包与三维链表形式的检测规则进行匹配,一旦发现数据包中的内容和某条规则相匹配,就通知报警模块。
  • 报警/日志模块,检测引擎将数据包传送给报警模块后,报警模块会根据规则定义(alert,log..)对其进行不同的处理(数据库,日志)。

上图和介绍 来源SNORT入侵检测系统 | WooYun知识库

  1. NIDS和HIDS Security-Onion-Solutions/securityonion: Security Onion 2 - Linux distro for threat hunting, enterprise security monitoring, and log management
  • Shell 73.6%
  • 带有UI

包罗万象

Security Onion里面的组件包括:snort(入侵检测引擎)、suricata(入侵检测引擎)、bro(入侵检测分析系统)、sguil(入侵检测分析系统)、squert(前端显示)、snorby(前端显示)、wireshark(抓包)、xplico(流量审计)。大致分类如下:

  • 完整数据包捕获;
  • 基于网络和主机的入侵检测系统(HIDS和NIDS);
  • 强大的分析工具

上图和介绍来源 Security Onion介绍 - 知乎

  1. NIDS OISF/suricata: Suricata git repository maintained by the OISF
  • C 88.1%

Engine

  • Network Intrusion Detection System (NIDS) engine
  • Network Intrusion Prevention System (NIPS) engine
  • Network Security Monitoring (NSM) engine 等等
  1. zeek/zeek: Zeek is a powerful network analysis framework that is much different from the typical IDS you may know.

network security monitor (NSM)

  • C++ 51.4% Zeek 44.6%
  1. ossec/ossec-hids: OSSEC is an Open Source Host-based Intrusion Detection System that performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response.
  • C 87.2%
  • log analysis 日志分析
  • file integrity checking 文件完整性检查
  • policy monitoring 监控策略
  • rootkit detection 加载到操作系统内核中的恶意软件 检测
  • real-time alerting 实时提醒
  • active response

图片来源开源EDR(OSSEC)基础篇- 03 - 目录结构与实用工具 - 知乎

  1. Tripwire/tripwire-open-source: Open Source Tripwire®
  • C++ 81.1%
  • security and data integrity tool for monitoring and alerting on file & directory changes.
  1. aide/aide: aide source code
  • C 84.7%
  • 被开发成Tripwire的一个替代品

蜜罐

初步了解可以看谈谈蜜罐(调研)与内网安全 - 知乎了解部分开源蜜罐

功能性可以参考 长亭谛听白皮书 默安-从蜜罐发展看攻击欺骗应用趋势

  1. OpenCanary

Python, 依赖于twisted的python库实现 可以参考:

  1. HFish

Go编写 参考:

WAF

可以直接看2021年十大开源waf - 知乎

防火墙

开源防火墙推荐 | 鐵血男兒的BLOG

一般人好像都推荐用Pfsense:免费开源的应用层防火墙 - FreeBuf网络安全行业门户

日志审计

allinurl/goaccess: GoAccess is a real-time web log analyzer and interactive viewer that runs in a terminal in *nix systems or through your browser.

  • star 13.1K C 86.2%

推荐 | 10个好用的Web日志安全分析工具 - Bypass - 博客园

漏洞扫描系统

最好用的开源Web漏扫工具梳理 - FreeBuf网络安全行业门户

EDR

ComodoSecurity/openedr: Open EDR public repository

有vm可以试用TheHive-Project/TheHive: TheHive: a Scalable, Open Source and Free Security Incident Response Platform

详见Ten Open-Source EDR Tools to Enhance Your Cyber-Resilience Factor

蜜罐

实现相关

功能相关

溯源

bypass图,来自群内

与群友交流后,学习到了 溯源方法:

游览器端js执行的一些骚操作:

  • 主机设置proxy_pass到某个网站,nginx配置某个路径的js为本机的溯源js,这样没有蜜罐特征
反蜜罐识别

针对../RelatedBox/mysql蜜罐识别 摘录进行反制

端口流量转发(透传ip)

来源 蜜罐项目-端口流量转发(透传ip)方案调研

感觉就是两机子建立gre隧道后,源机子设置DNAT(目标地址转换)将数据包转发到蜜罐中(或者蜜罐群的网关机子这种,使用点到多点GRE隧道),在docker中也可以实现透传ip的,接下来难点就是识别恶意流量了(倒)

Gre隧道

通用路由封装或 GRE 是一种协议,用于将使用一个路由协议的数据包封装在另一协议的数据包中。“封装”是指将一个数据包包装在另一个数据包中。GRE 是在网络上建立直接点对点连接的一种方法,目的是简化单独网络之间的连接。适用于各种网络层

** 例如**,假设一家公司需要在位于两个不同办公室的局域网之间建立连接。两个 LAN 都使用最新版本的互联网协议IPv6。但是,为了从一个办公网络到达另一个办公网络,流量必须通过一个有些过时的网络,仅支持较旧的 IPv4 协议。 借助 GRE,该公司可以将 IPv6 数据包封装在 IPv4 数据包中,然后便可通过此网络传输流量。回到那个类比,IPv6 数据包是汽车,IPv4 数据包是渡轮,而第三方网络则是水。

来源 什么是 GRE 隧道?| GRE 协议如何工作 | Cloudflare

「真诚赞赏,手留余香」

Mr.Be1ieVe's Treasure

真诚赞赏,手留余香

使用微信扫描二维码完成支付