记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

以彼之道还施彼身 利用IDS特征码绕过IDS

罗马尼亚的首都布加勒斯特举行的DefCamp 2017上,入侵检测系统(IDS)的特征码,被利用以绕过IDS本身。DefCamp 2017安全大会的一场演讲中,基里尔·什普林,Positive Technologies 安全研究员,阐述了IDS特征码是如何被用来致瘫其本身的防御的。他还宣称,对性能及安全的破坏,可创造出绕过防御的机会。基于特征码的IDS,依赖发现特定模式来检测攻击,要么查找网络流量中的字节序列,要么找寻恶意软件使用的已知恶意指令序列。此类系统的主要局限,在于无法检测没有可用特征模式的攻击。而且,从新威胁被发现,到其特征码开始应用到IDS上的时间差,也可供攻击者利用来毫无顾忌地入侵系统,丝毫不用惧怕IDS会检测到自己的入侵行为。目前已有很多特征码被创建出来,用以保护系统不受公开漏洞利用程序的侵害;
发布时间:2017-11-22 09:05 | 阅读:109230 | 评论:0 | 标签:牛闻牛评 IDS suricata 拒绝服务攻击 特征码

IDS和IPS的部署细节科普

摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制。在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件。基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容。 因此,在这篇文章中,我们将从高层设计角度触发,跟大家讨论一下如何在不同的IT环境中更加有效地部署IDS和IPS。本文包含以下几个话题内容: 1. 什么是基于网络的IDS和IPS 2. 什么是基于主机的IDS和IPS 3. 企业环境下的IDS/IPS设计 4. 基于设备的IDS/IPS 5. 基于路由器的IDS/IPS 6. 基于防火墙的IDS/IPS
发布时间:2017-10-05 13:25 | 阅读:105672 | 评论:0 | 标签:新手科普 ids ips

【公益译文】采取纵深防御策略 提升工控系统网络安全

阅读: 1工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用

重庆潮讯信息技术招聘网络安全工程师

重庆潮讯信息技术有限公司招聘  网络安全工程师 渗透方向 岗位职责: 1、根据项目需要,实施经过合法授权的主机、网络和Web安全渗透测试; 2、提供网络安全攻防技术培训演练及应急响应工作。 3、对互联网领域的重大安全事件进行跟踪、分析; 4、对安全领域的新技术、新方法进行研究。 岗位要求: 1、熟悉渗透测试的步骤、方法和流程; 2、熟悉常见攻击和防御办法,熟悉web安全和渗透技术,能自行进行web渗透测试,WEB代码漏洞挖掘和分析; 3、熟悉主流操作系统、数据库、网络与应用系统的工作原理,全面掌握常见的安全漏洞及利用技术; 4、熟悉主流的Web安全技术,包括SQL注入,XSS,CSRF等OWASP TOP 10安全风险; 5、熟悉国内外主流WEB安全产品、工具,如:Nmap,SqlMap,穿山甲,APPSc
发布时间:2016-04-06 04:10 | 阅读:303315 | 评论:0 | 标签:招聘 APPscan Blackhold csrf IDS Inspect ips metasploit Nmap OW

Uproot:使用powershell编写基于主机的IDS

概述Uproot是一款基于主机的入侵检测系统(HIDS),其利用持续运行的Windows管理规范服务(WMI)事件订阅,在一个网络中检测恶意行为。更多有关WMI事件订阅可以参见WMIEventing Module为达到最佳效果,建议使用Uproot的AS_GenericHTTP consumer以及Uproot Listening Post提取事件,将系统日志聚合一起,再用Splunk进行处理。注意:Uproot最好是在powershell版本>=v3环境下使用,当然你也可以在PowerShell v2下使用,只是功能方面会大打折扣。微软从Windows NT 4.0和Windows 95时代一来一贯坚持着可恨又可爱的WMI,正因如此对于Windows NT 4.0之后的版本我们都可
发布时间:2015-12-09 20:50 | 阅读:84883 | 评论:0 | 标签:工具 系统安全 终端安全 ids powershell

重振入侵检测系统

许多人认为,入侵检测系统(IDS)就像当年的寻呼机一样已经过时。这个观点很大程度上与入侵检测系统已经被入侵防御系统(IPS)所兼并有关,而IPS也已经被第二代防火墙和UTM兼并。这种看法已经从IDS/IPS厂商那里得到验证,这些致力于提高他们的IPS性能的厂商已经把IDS作为IPS组合产品中的其中一项部署。“你想检测入侵吗?那么,只要部署我们的IPS(out-of-band)就可以了!”显而易见,入侵检测系统和入侵防御系统不仅仅是简单的同一种技术的两种部署选项,它们实际上是有着不同需求,目标和不同角色的两种概念。时间和地点现代IDS和IPS最明显的差别在于它们位于攻击的不同阶段。入侵防御是一切关于通过实时检测病毒感染和计算机妥协将危险挡在网络外的技术。IPS检测成千上万个计算机漏洞、已知恶意域名和攻击信号。相反
发布时间:2015-11-16 21:30 | 阅读:79829 | 评论:0 | 标签:牛观点 牛闻牛评 IDS IPS 入侵检测

@赵彦_ayazero ,互联网企业安全管理和传统行业的区别

总体来看,传统安全偏重管理,“三分技术,七分管理”,互联网行业偏重技术,我认为应该倒过来。其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义,安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理,如果你较真这些理论那你就掉坑里了。 先说一下传统安全和互联网安全的建设需求上的差异: 传统安全: IT资产相对固定 业务变更不频繁 网络边界比较固定 IDC规模不会很大甚至没有 使用基于传统的资产威胁脆弱性的风险管理方法论加上购买和部署商业安全产品(解决方案)通常可以搞定。 互联网安全生态,对于大型互联网而言,需要应对: 海量IDC和海量数据 完全的分布式架构 应对业务的频繁发布和变更 同时架构层面关注: 高性能 高可用性 扩展性 TCO(ROI) 在规模不大的互联网公
发布时间:2015-06-01 14:15 | 阅读:126945 | 评论:0 | 标签:业界 IDS IPS 企业安全 赵彦_ayazero

内网渗透中常见的几个问题

文章没有太多的技术含量,纯属胡言乱语加装逼,有些已经不适用现在的环境,所有的方法均经过实际环境的验证并有效实施,并不适用于所有的环境,纸上谈兵,各位当故事看看即可,仁者见仁,智者见智。 内网渗透中常见的几个问题 1、防火墙穿透 2、木马免杀穿透 3、内网信息收集及目标定位 4、关于文件下载 渗透,顾名思义已经获取到目标的部分权限,需要进一步扩大战果了,这里会遇到各种各样的问题, 比如信息收集,比如目标的查找,比如文件下载的方式,比如等等   防火墙穿透 首先说防火墙穿透,现在的业务环境各种ids,各种ngxxx,各种waf,isa策略,各种牛逼的杀毒带防火墙一体的软硬件,websense,bluecoat为代表的网关,策略上最基础的就是黑白名单,这种是目前各大杀软厂商和waf厂商常用的。 针对黑白名
发布时间:2015-03-30 15:40 | 阅读:150534 | 评论:0 | 标签:内网渗透 beacon Bit9 bluecoat cobalt strike darkmoon IDS msnbot

渗透测试中密码扫描与破解小结

0x00 前言                 一次测试的过程总会涉及到”密码”与”加解密”。在踩点的过程中,对弱口令的尝试是必不可少的过程,从xx抓鸡到内网哈希批量传递,从个人PC到网络设备/工控设施,只要依旧采用单因素模式的密码认证,密码扫描就不会被遗忘。以下笔者简单分享总结安全测试中密码扫描与破解的技巧,如有疏漏错误,还望 不吝赐教。   0x01 整理一份优秀的字典 想破解密码,要求我们已经”拥有”别人的密码。字典在口令扫描尝试过程中的重要性不言而喻。要整理一份优秀的字典,不妨参考各大网站泄漏数据库,将密码(明文)字段收集后,依出现频率先后生成字典。 一个demo脚本:#!/bin/bash/python import
发布时间:2014-12-25 07:25 | 阅读:120653 | 评论:1 | 标签:安全文献 backdoor Burp Suite BurpSuite Cupp.py Fcrackzip GPU Has

著名开源入侵检测系统(IDS/IPS):Snort V2.9.5发布

Snort是一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。在全球拥有百万级的下载量和近400,000的注册用户,已经成为IPS的标准。主要新特性* 新增FTP跟踪数据通道* 增加PAF的支持* 新增Cisco ERSPAN的解码支持* 规则中新增HTTP上传跟踪下载地址
发布时间:2013-07-12 12:00 | 阅读:74175 | 评论:0 | 标签:工具 ids ips

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云