在很多渗透测试中,客户想知道攻击的可追溯性搜索问题。Sine安全在日常网站安全检测过程中,黑客知道如何攻击、上传和篡改特洛伊木马,以及日志分析攻击者如何通过哪些脚本门户文件入侵。本节由戴尔熟练的渗透测试负责人技术说明。
6.9.1.1。基于日志的跟踪
使用路由器、主机等设备记录网络传输数据流中的重要信息(时间、源地址、目标地址),并在跟踪时根据日志查询进行反向跟踪。这种方式的优点是兼容性强,可以事后支持,网络开销小。但是,此方法受性能、空间、个人信息保护等限制,考虑到上述因素,可以限制记录的数据特性和数据量。此外,还可以使用流量镜像等技术减少对网络性能的影响。
6.9.1.2。路由输入调试技术
在攻击持续传输数据,特性比较稳定的场景中,可以使用路由器的输入调试技术,在与攻击流量匹配时动态向上跟踪。该方法在DDoS攻击跟踪中比较有效,网络开销较小。
6.9.1.3。可控防洪技术
跟踪时,如果发生对潜在上游路由器的洪水攻击,并且收到的攻击流量很少,则攻击流量将通过该路径流动。这种方法的优点是不需要事先部署,对协作的需求较小。但是这种方式本身就是一种攻击,会影响网络。
6.9.1.4。基于包数据修改跟踪技术
这种跟踪方法直接修改数据包,添加编码或标记信息,并在接收端重新配置传输路径。这种方式人力投入少,支持事后分析,但对部分协议的支持性不太好。通过这种方式导出随机标记技术,每条路径以特定概率识别数据包,接收方收集多个数据包后重新配置。
6.9.2。模型分析