为确保网络安全,减少攻击者入侵的可能性,组织机构中部署的安全信息和事件管理系统(SIEM)需要对进出网络的行为执行实时的日志收集、分析和预警处理,SIEM系统中会涉及到大量的日志收集设备。但也存在另外一种可能,攻击者可以对SIEM系统中的日志收集设备形成虚假日志,实现干扰SIEM的安全行为监测目的。本文就来探讨身处内网的攻击者如何对日志收集设备发起虚假日志攻击,文章仅为思路分享,不代表实战观点。
1. 理论思路
要对SIEM系统日志收集设备形成虚假日志,主要有两步:
前提条件:身处目标网络中的一台设备。可以点击Letsdefend.io的SIEM仿真实验室进行练手。
(1) 发现目标日志收集设备的日志格式
如果目标日志收集设备使用的是扩展的日志格式(LEEF),而我们向其发送了通用的事件格式(CEF),那就会出现解析问题。这里我们可以用以下两种方法判断目标监控设备的日志格式:
(2) 应用程序识别
识别目标日志收集设备在网络中监测的前端应用程序,然后对该应用程序的属性和日志流进行分析;
网络流量监测分析,如果网络系统中的日志信息未经加密进行传输,一般都能发现其具体的日志格式。
(3) 生成虚假日志
根据上一阶段的分析,构造虚假日志发送给目标日志收集设备。
2. 实例测试
用以下简单的网络系统为例,网络架构中部署了一台针对客户端的日志收集设备,它是基于Splunk的日志系统,其收集的日志信息会传递给监测分析设备进行关联分析,并给出威胁报警。
攻击者潜入网络,开始信息探测,按照上述步骤首先来识别日志收集设备的日志收集格式。这一步他应该会对日志收集设备执行端口扫描:
从扫描结果可以看出,日志收集设备系统中运行有Splunk服务,假设端口514和1234用于日志信息收集,之后,攻击者通过网络流量监听,会发现端口1234用于TCP包的传输:
从实际的传输包中可以看到,整个网络数据并未采取加密措施,因此可以从中发现具体的日志格式:
有了这种明文的日志格式,接下来就是构造日志的问题了。这里虚假日志的目的各有不同,例如可以发送大体积日志以堵塞日志收集功能,或是用虚假攻击日志欺骗系统管理员(Analyst),也可即时发送大量日志消息延迟日志处理机制,等等。为了分散系统管理员的注意力,基于上述格式,攻击者可以伪造出以下尝试SQL注入的日志格式:
之后,把类似大量的日志发往日志收集设备的1234端口:
管理员在日志收集设备中看到以下的记录信息,攻击者也成功实现了干扰目的。
预防措施
有什么方法能让手臂快速瘦下来?
快速瘦手臂三妙方夏天就要来临,当你看着别人结实的臂膀裸露,却只能把自己两臂赘肉藏在袖子里,心里真不是滋味!这里告诉你三种简单的瘦手臂妙方,只要持之以恒,坚持超过两个礼拜,就能减掉手臂上的脂肪,锻炼出一点结实的臂肌,届时可别忘记采买一件无袖衣服来秀秀你的美臂哟!第一种瘦手臂妙方:1.手握哑铃或装满水(或砂)的保特瓶,由前而上伸直再往后,谨记要贴紧你的耳朵来做这个动作。 2.缓缓往前放下,重复此动作十五次,做完时上手臂会有酸酸的感觉,那就对了,每天做四十五次,可分开做。 第二种瘦手臂妙方:将右手臂伸高,往身后左肩胛骨弯曲,以左手压着右臂关节处,并触碰左肩胛骨,而后伸高,左右换边,如此动作每天做二十次。 如果在刚做的时候会觉得手臂很酸,即表示你运动到那个部位了。 第三种瘦手臂妙方:1.双手向前伸直,两脚站立与肩同宽。 2.双手画圆,向外画圆20次。 3.再向内画圆20次。 4.画圆不用画的太大,用手臂的力量,而非手掌。 天下没有丑女人,只有懒女人喔!只要持续做运动,拥有美臂不是梦!但在做这些动作之前,别忘了先做暖身操,否则会有运动伤害之虞。
FAT,FAT32,NTES文件系统他们有什么优缺点,和区别
在推出FAT32文件系统之前PC机使用的文件系统是FAT16。 像基于MS-DOS,Win 95等系统都采用了FAT16文件系统。 在Win 9X下,FAT16支持的分区最大为2GB。 我们知道计算机将信息保存在硬盘上称为“簇”的区域内。 使用的簇越小,保存信息的效率就越高。 在FAT16的情况下,分区越大簇就相应的要增大,存储效率就越低,势必造成存储空间的浪费。 并且随着计算机硬件和应用的不断提高,FAT16文件系统已不能很好地适应系统的要求。 在这种情况下,推出了增强的文件系统FAT32。 同FAT16相比,FAT32主要具有以下特点: 1. 同FAT16相比FAT32最大的优点是可以支持的磁盘大小达到2TB(2047GB),但是不能支持小于512MB的分区。 基于FAT32的Win 2000可以支持分区最大为32GB;而基于 FAT16的Win 2000支持的分区最大为4GB。 2. 由于采用了更小的簇,FAT32文件系统可以更有效率地保存信息。 如两个分区大小都为2GB,一个分区采用了FAT16文件系统,另一个分区采用了FAT32文件系统。 采用FAT16的分区的簇大小为32KB,而FAT32分区的簇只有4KB的大小。 这样FAT32就比FAT16的存储效率要高很多,通常情况下可以提高15%。 3. FAT32文件系统可以重新定位根目录和使用FAT的备份副本。 另外FAT32分区的启动记录被包含在一个含有关键数据的结构中,减少了计算机系统崩溃的可能性。 NTFS文件系统 NTFS文件系统是一个基于安全性的文件系统,是Windows NT所采用的独特的文件系统结构,它是建立在保护文件和目录数据基础上,同时照顾节省存储资源、减少磁盘占用量的一种先进的文件系统。 使用非常广泛的Windows NT 4.0采用的就是NTFS 4.0文件系统,相信它所带来的强大的系统安全性一定给广大用户留下了深刻的印象。 Win 2000采用了更新版本的NTFS文件系统——NTFS 5.0,它的推出使得用户不但可以像Win 9X那样方便快捷地操作和管理计算机,同时也可享受到NTFS所带来的系统安全性。 NTFS 5.0的特点主要体现在以下几个方面: 1. NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。 而Win 2000中的FAT32支持分区的大小最大为32GB。 2. NTFS是一个可恢复的文件系统。 在NTFS分区上用户很少需要运行磁盘修复程序。 NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。 发生系统失败事件时,NTFS使用日志文件和检查点信息自动恢复文件系统的一致性。 3. NTFS支持对分区、文件夹和文件的压缩。 任何基于Windows的应用程序对NTFS分区上的压缩文件进行读写时不需要事先由其他程序进行解压缩,当对文件进行读取时,文件将自动进行解压缩;文件关闭或保存时会自动对文件进行压缩。 4. NTFS采用了更小的簇,可以更有效率地管理磁盘空间。 在Win 2000的FAT32文件系统的情况下,分区大小在2GB~8GB时簇的大小为4KB;分区大小在8GB~16GB时簇的大小为8KB;分区大小在16GB~32GB时,簇的大小则达到了16KB。 而Win 2000的NTFS文件系统,当分区的大小在2GB以下时,簇的大小都比相应的FAT32簇小;当分区的大小在2GB以上时(2GB~2TB),簇的大小都为4KB。 相比之下,NTFS可以比FAT32更有效地管理磁盘空间,最大限度地避免了磁盘空间的浪费。 5. 在NTFS分区上,可以为共享资源、文件夹以及文件设置访问许可权限。 许可的设置包括两方面的内容:一是允许哪些组或用户对文件夹、文件和共享资源进行访问;二是获得访问许可的组或用户可以进行什么级别的访问。 访问许可权限的设置不但适用于本地计算机的用户,同样也应用于通过网络的共享文件夹对文件进行访问的网络用户。 与FAT32文件系统下对文件夹或文件进行访问相比,安全性要高得多。 另外,在采用NTFS格式的Win 2000中,应用审核策略可以对文件夹、文件以及活动目录对象进行审核,审核结果记录在安全日志中,通过安全日志就可以查看哪些组或用户对文件夹、文件或活动目录对象进行了什么级别的操作,从而发现系统可能面临的非法访问,通过采取相应的措施,将这种安全隐患减到最低。 这些在FAT32文件系统下,是不能实现的。 6. 在Win 2000的NTFS文件系统下可以进行磁盘配额管理。 磁盘配额就是管理员可以为用户所能使用的磁盘空间进行配额限制,每一用户只能使用最大配额范围内的磁盘空间。 设置磁盘配额后,可以对每一个用户的磁盘使用情况进行跟踪和控制,通过监测可以标识出超过配额报警阈值和配额限制的用户,从而采取相应的措施。 磁盘配额管理功能的提供,使得管理员可以方便合理地为用户分配存储资源,避免由于磁盘空间使用的失控可能造成的系统崩溃,提高了系统的安全性。 7. NTFS使用一个“变更”日志来跟踪记录文件所发生的变更。 小提示(选取FAT32和NTFS的建议) 在系统的安全性方面,NTFS文件系统具有很多FAT32文件系统所不具备的特点,而且基于NTFS的Win 2000运行要快于基于FAT32的Win 2000;而在与Win 9X的兼容性方面,FAT32优于NTFS。 所以在决定Win 2000中采用什么样的文件系统时应从以下几点出发: 1. 计算机是单一的Win 2000系统,还是采用多启动的Win 2000系统; 2. 本地安装的磁盘的个数和容量; 3. 是否有安全性方面的考虑等。 基于以上的考虑,如果要在Win 2000中使用大于32GB的分区的话,那么只能选择NTFS格式。 如果计算机作为单机使用,不需要考虑安全性方面的问题,更多地注重与Win 9X的兼容性,那么FAT32是最好的选择。 如果计算机作为网络工作站或更多的追求系统的安全性,而且可以在单一的Win 2000模式下运行,强烈建议所有的分区都采用NTFS格式;如果要兼容以前的应用,需要安装Win 9X或其它的操作系统,建议做成多启动系统,这就需要两个以上的分区,一个分区采用NTFS格式,另外的分区采用FAT32格式,同时为了获得最快的运行速度建议将Win 2000的系统文件放置在NTFS分区上,其它的个人文件则放置在FAT32分区中 NTFS适合你吗? 在多操作系统中是否选择将FAT32转换为NTFS,应该根据自己的情况来决定。 如果重在性能和安全方面,那么可以将FAT32转换为NTFS;如果重在可操作性和兼容性方面,应该保持FAT32,不进行转换,因为支持FAT32的操作系统更多。 而NTFS对Windows Me和以前的Windows版本并不兼容。 建议除Windows XP/2003外的系统用FAT32。 将FAT32转换为NTFS 在Windows 2000/XP中,可以在命令提示符状态下键入“convert E:/FS NTFS”(假设E盘原来使用的是FAT32),回车后,在下次重启时自动将E盘转换为NTFS文件系统。 转换时最好整理一下磁盘碎片加快转换速度,并且把数据备份到其他不转换的分区中。 将NTFS转换为FAT32 将NTFS转换成FAT32相对比较复杂,在不需要旧的文件情况下,我们可以使用Windows 2000/XP的安装光盘来完成转换,在安装时,选择“用FAT文件系统格式化磁盘分区”。 如果你需要保存原来的文件,可以用Partition Magic For DOS来转换,不过这种转换的速度比较慢,数据也容易丢失,因此强烈建议转换前备份好数据。 转换问题多 如果当前的磁盘分区已经采用了NTFS文件系统,而且已经保存了许多资料,包括加密的文件或文件夹,这时转换为FAT32就会出现加密文件无法访问的问题,而且因为两种文件系统采用的文件命名方式不同,在转换后文件名会出现问题。 该不该选用NTFS文件系统? Windwos 9X 普及的时候已有Windows NT系统,由于Windows NT系统多用于商业平台,一般家用机都是安装Windows 9X , 在Windows 2000 推出的时候,因为其庞大的体积与众多用应用程序还有与Windows 9X 全然不同的一些操作方式,所以普通用户都没有接触过Windows 2000 , 当然也就没有用过NTFS文件系统。 当然NT 3.X 与 NT 4.X系统是很早就出来的,但也是很少有人问津,因为它跟本不适合家用,这里也不多说了。 XP的推出让人耳目一新,越来越多的人安装了XP,但也就引发了他们必需面对的一个问题,那就是这个贴子的标题《该不该选用NTFS文件系统?》。 在运行Windows 2000/XP的计算机上,NTFS是系统推荐使用的文件系统,NTFS是最容易处理大容量硬盘的文件系统,NTFS文件系统能够提供目录的各种新功能和其他比较重要的安全功能。 使用NTFS文件系统对分区进行格式化时分区中的碎片会更少,性能也会更高。 有一点要注意的是,早先的Windows 9.x 系统是无法直接访问NTFS分区的,听说有补丁,但也不是万能的。 所以,如果你还不愿意放弃windows 9.X系统的话,这个文章可能对你没有什么用处。 NTFS分区方式的优点 自从Windows2000开始,微软开始推荐大家使用NTFS的磁盘格式,其后推出的XP更是要配合这种磁盘格式才能发挥其最大的性能优势。 不仅仅是微软推广的缘故,NTFS的磁盘格式由于其自身的技术优势,配合目前硬件、网络发展的趋势的作用,正逐渐被广大用户接受。 1、大硬盘带来的影响。 现在的硬盘容量正以倍数在增长,每半年就增加一倍甚至更多,价格却在降低。 这样基于传统的FAT文件系统的分区方式,就将逐步体现出其先天不足之处了——我们先来看看FAT32,FAT32是FAT文件系统的增强版本,可用在容量为512MB到2TB的驱动器上,虽然如此,以FAT32的格式,如果划分太大的分区空间,由于其磁盘的簇相对过大,在储存多个小文件的时候,将造成空间利用上的极大浪费。 相对而言,NTFS的磁盘格式的簇相当地细,就能有效地利用磁盘空间,而且不容易产生碎片。 另外,NTFS的磁盘格式在处理单个巨大的文件的时候如进行视频捕捉、编辑的时候,也比FAT系统有优势。 随着海量硬盘的发展,使用NTFS的分区格式将越来越必要——你总不希望把分区数划分满24个字母的盘符来迁就分区容量吧?所以,微软推荐使用NTFS而不是FAT32文件系统格式化大于32GB的分区是有其道理的。
谁介绍一下空间养花状态的各种指数怎么加减、计算?
营养指数 每在个人空间商城花费1元钱,给当前的植物的这一指数增加8分(手机消费除外),植物营养指数将在24小时内为您加上。 给自己或者好友每施肥一次,则给自己或者好友增加1分营养值 (黄钻可以给自己和别人每天各施肥一次,非黄钻不能施肥,但可以接受黄钻的施肥,一天一次)黄钻直通车用户每月月初(10号前)固定增加200分,通过网银渠道开通黄钻的包月用户每月月初(10号前)固定增加180分,通过个帐渠道开通黄钻的包月用户每月月初(10号前)固定增加150分,通过手机开通黄钻的包月用户每月月初(10号前)固定增加50分:当月开通当月关闭,将不增加黄钻营养指数;当月开通黄钻资格的用户,当月不增加黄钻营养指数,从下月开始增加营养指数。
心情灌溉(养花指南)
您的植物拥有四项属性:阳光、爱心、雨露、营养。
1、阳光指数 每1个访客(不包括未登录的访客)给这项指数增加1分,每天增加分数上限为8分。
2、爱心指数 自己每发表一篇日志(包括彩信日志)增加5分。 新增一个非QQ个性签名的心情增加3分,添加一首音乐只增加1分,添加偶像增加3分;相应地,您删除一篇日志扣5分,删除一个心情扣3分,删除一首音乐扣1分。 每天增加分数上限为8分,减分无下限。
3、雨露指数日志、心情和留言板每增加一个非自己的回复增加2分,收到一个新小纸条增加1分。 每篇网络日志被转载原创作者增加3分/次,每天增加分数上限为8分。
新花藤的新特性:
1、增值操作一期固定操作包括:浇水、施肥、除草、日照。 2、日照日照增加阳光值:一次增长的点数=(N+1)*2,其中N为黄钻等级。 日照的权限:用户每天免费给自己日照一次,给好友日照一次。 3、浇水浇水增加雨露值:一次增长的点数=(N+1)*2,其中N为黄钻等级。 浇水的权限:用户每天免费给自己日照一次,给好友日照一次。 4、除草除草增加爱心值:一次增长的点数=(N+1)*2,其中N为黄钻等级。 除草的权限:用户每天免费给自己日照一次,给好友日照一次。 5、施肥施肥增加营养值:用户给自己施肥一次增加1点营养值,给好友自己施肥一次增加1点营养值。 施肥的权限:黄钻用户每天免费给自己操作一次,普通用户不可以操作
发表评论