硬體防火牆的By pass功能:若是防火牆故障,則全部的封包皆by pass讓其通過
編碼:encode過的資料,線上遊戲較多。
錄製封包:區分switch設備,選擇關鍵時刻。
如果是偵測木馬後門通訊
- 先不要忽略正常通訊,專門尋找不成功的HTTP封包,有的病毒會先發送一些HTTP封包,但通常會失敗,同時觀察有無異常DNS封包。
- 刻意忽略HTTP,SMTP/POP3,DNS等等,開始注意剩餘通訊封包。
- 先不要忽略正常通訊,專門尋找大量失效通訊封包。
- 特別注意ARP封包(正常情況:getway、防火牆,異常情況:中蠕蟲,網路剪刀手)
A-packetman
HTTP命令碼(IE、FF通常只會用到以下兩項,其餘的應為攻擊指令):
- GET
- POST
- 2xx 、 3xx 最常看到
- 1xx 通常用於p2p
- 4xx 、 5xx 比較少看到
NetBUEI與NetBIOS Over TCP/IP
關閉網路芳鄰:在TCP/IP進階設定檔裡,選擇Wins標籤,然後選擇停用。
掃網路的軟體
Secuserver
沒有留言:
張貼留言