首页 网络安全

天眼相关知识总结

# 常见协议字段与语法

# 天眼日志检索语法

1 基本语法:
字段 : 项 运算符 字段 : 项

  1. 通配符查询
    ? 和 * 的区别

  2. 范围查询
    ["192.168.00" TO "192.168.255.255"]

# 协议字段

  1. 威胁告警搜索字段

    1
    2
    3
    4
    5
    6

    attack_sip          攻击者 ip
    alarm_sip           受害者 ip
    attack_type         攻击类型 
    is_web_attack       用于标记告警是否为 web 告警 
    _hazard_level       威胁级别

  2. 网络协议公共字段

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21

    access_time 日志生成时间 
     采集器采集到该数据包并解析完成生成日志的时间戳 

    @timestamp 时间戳 
     日志在分析平台存储入库时添加 

    sip 源 ip
     网络数据流发起的 ip

    sport 源端口 
     网络数据流的客户端应用入口 

    dip 目的 ip
     网络数据流的服务端 ip

    dport 目的端口 
     网络数据流的服务端应用端口 

    geo
    ip 对应的物理地址

3.TCP&UDP 协议字段

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

proto 协议 
ip 包头中的协议字段值 

uplink_length 上行字节数 
 从 TCP 流的建立到该流的结束,从客户端发往服务器端的应用层字节总数 

downlink_length 下行字节数 
 从 TCP 流建立到结束,从服务器端发往客户端的应用层数据的字节总数 

src_mac 源 mac
tcp 数据流的源 mac 地址 

dst_mac 目的 mac
tcp 数据流的目的 mac 地址 

up_payload 上行前 100 字节 
 从 tcp 流建立起,从客户端发往服务器端应用层的前 100 个字节 

down_payoad 下行前 100 字节 
 从 tcp 流建立起,从服务器端发往客户端应用层的前 100 个字节

3.HTTP 协议字段
xff:请求端真实 ip 和代理

4.HTTP 状态码
100:continue;继续。客户端应继续其请求。
302:Found;临时移动,与 301 类似,但资源只是临时移动,客户端应继续使用原有 URL
400:Bad Request;客户端请求的语法错误,服务器无法理解。
401:Unauthorized;请求要求用户的身份认证。
402:Payment Required;保留,将来使用。
405:Method Not Allowed;客户端请求中的方法被静止。
500:Internal Server Error;服务器内部错误,无法完成请求。
502:Bad Gateway;作为网关或者代理工作的服务器尝试请求时,从远程服务器接收到一个无效响应。

4.DNS 协议字段:

1
2
3
4
5
6
7
8
9
10
11
12
13

des_type DNS 访问类型 

host HOST
 请求的域名信息 

addr 地址资源 
DNS 的 A 记录,表示该 host 对应的 IP 地址信息,可能有多个记录 

mx 邮件交换记录 

cname 域名的规范名称 
 表示该 host 域名的其它别名记录

5.SSL 协议字段

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

version 版本号 
SSL 的版本号 

server_name 服务器的名称 
SSL client_hello 报文中的扩展字段,通过该字段判断客户端和哪个站点进行交互 

issuer_name 证书颁发者名称 

notbefore 证书有效期起始时间 

notafter 证书有效期起始时间 

public_key 证书公钥 

user_name Server 端的证书使用者

  1. 文件传输协议字段
    proto; trans_mode; file_name; file_md5; mimie_tupe; uri; host; referer; status; file_dir; mothod

  2. 登录协议字段
    proto; passwd; info; user; db_type; normal_ret

  3. 邮件协议
    proto; time; from; to; cc; subject; references; attach_name; attach_md5; mime_type; plain

# 数据库操作

  1. 数据库查询字段
    proto; version; user; db_name; db_type; ret_code; sql_info

# web 攻击处理

  1. 备份文件
    下载对应备份文件,分析并判断影响,是否删除对应文件。

  2. 自动目录列表
    响应体中的 “Directory” 会出发警告,此时应该访问对应文件,分析目录信息,判断影响,修改配置文件,禁止目录列表列出。

  3. 目录穿越
    请求头包含../../ 触发警告,应该对输入参数进行过滤。

4.svn 源码泄露
URL“/.svn/entries” 与响应体 svn 信息触发规则告警,应禁止或删除.svn 文件。

  1. 弱口令
    查看是否包含返回成功的字段或数据,溯源 sip 或自己登录尝试,例如 tomcat 与 basic 认证弱口令信息在 Authorization 中,可用 base64 解密。
    根据流量分析暴力破解行文,以下是一些常见的筛选语句:
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10

    HTTP 登录爆破,协议类型 web 日志:
    sip:("ip") AND dip:("ip") AND data:(" 账号 & quot;)

    FTP,SMTP,Telnet,SSH,mysql 数据库等登录爆破,协议登录动作:
    sip:("ip") AND dip:("ip") AND proto:(" 爆破协议 & quot;)

     过滤爆破登录成功:
    sip:("ip") AND dip:("ip") AND proto:(" 爆破协议 & quot;) AND NOT (info:fail* OR info:530)

# XSS

检查是否存在 xss 的 payload,看是否存在实体化。

# SQL 注入

检查数据库是否返回相应信息,根据返回页面长度判断是否注入成功,根据网站延时判断注入是否成功。基本都是根据相应时间,响应头,响应体判断。

# 文件上传

首先判断是否存在危险文件上传,再根据返回信息判断是否上传成功。
检查语法:uri:("文件名")

# 文件包含

检查响应体

# webshell

  1. 哥斯拉通信:上下文流量分析。
  2. 冰蝎:密钥协商,加密传输。

# 命令执行

同前文。

# 网络攻击

看载荷,看是否有外接系统

# 小结

  1. 企图报警也要看
  2. 告警分析核心要素:请求与相应

# 威胁情报

# 远控木马

根据 IOC 信息查询,查询是否有主机访问对应 URL。

# 挖矿木马

查看流量日志是否存在挖矿流量,检测链接是否存活

# 勒索病毒

是否存在大量恶意域名请求,自身是否存在漏洞,检测是否存在横向传播,奇安信有检测平台

# 小结

  1. 流程:确认告警信息,分析威胁情报,匹配网络攻击行为,是否存在交互信息。