🥇اوج امنیت اطلاعات ، CISSP
برای اطلاعات بیشتر در مورد مدرک عالی امنیت اطلاعات CISSP به سایت زیر مراجعه نمایید :
www.cissp-iran.com
🍀آکادمی آموزش روزبه🍀
@roozbeh_learning 👈🏼
برای اطلاعات بیشتر در مورد مدرک عالی امنیت اطلاعات CISSP به سایت زیر مراجعه نمایید :
www.cissp-iran.com
🍀آکادمی آموزش روزبه🍀
@roozbeh_learning 👈🏼
🏮تلگرام نویسی
📌عنوان : کشف خارج شدن داده های سازمان شما توسط نفوذ گر که ازطریق ترافیک DNS انجام میشود .
زمان : امشب ساعت ۲۱:۳۰ تا ۲۲
مخاطبان : کارشناسان سطح دوم مرکز عملیات امنیت SOC
همین کانال👇
@roozbeh_learning 👈🏼
📌عنوان : کشف خارج شدن داده های سازمان شما توسط نفوذ گر که ازطریق ترافیک DNS انجام میشود .
زمان : امشب ساعت ۲۱:۳۰ تا ۲۲
مخاطبان : کارشناسان سطح دوم مرکز عملیات امنیت SOC
همین کانال👇
@roozbeh_learning 👈🏼
سلام و وقت بخیر خدمت دانشجویان گرامی
امشب نیم ساعت گذشته از ساعت 9 شب برفی و زمستانی (البته برفی نه برای تمام ایران ه چهار فصل )
اولین سری از تلگرام نویسی های تخصصی در حوزه امنیت اطلاعات خدمت شما گرامیان ارایه میگردد.
امید که این حرکت هرچند کوچک ، در ارتقای دانش این مرز و بوم اثر گذار باشد .
نکته :برای اینکه در تلگرام مشکل خوانش کلمات انگلیسی که در که متن فارسی تایپ میشوند پیش نیاید ،یا آن کلمات فارسی نوشته میگردند یا در یک خط جداگانه تایپ میشوند .
امشب نیم ساعت گذشته از ساعت 9 شب برفی و زمستانی (البته برفی نه برای تمام ایران ه چهار فصل )
اولین سری از تلگرام نویسی های تخصصی در حوزه امنیت اطلاعات خدمت شما گرامیان ارایه میگردد.
امید که این حرکت هرچند کوچک ، در ارتقای دانش این مرز و بوم اثر گذار باشد .
نکته :برای اینکه در تلگرام مشکل خوانش کلمات انگلیسی که در که متن فارسی تایپ میشوند پیش نیاید ،یا آن کلمات فارسی نوشته میگردند یا در یک خط جداگانه تایپ میشوند .
درخواست های یا همان کوئری های دی ان اس ، دارای پی لود 512 بایت هستند که از طریق پروتکل یو دی پی جا بجا میگردند
UDP for DNS request👇
UDP for DNS request👇
اما اگر نیاز به جابجایی زون ها بین سرور های دی ان اس باشد ، از پروتکل تی سی پی استفاده میشود
TCP prot 53 as like UDP 53👇
TCP prot 53 as like UDP 53👇
خب کلاینت از سرور ارایه دهنده خدمات دی ان اس درخواستش را مطابق استاندارد پروتکل دی ان است که در آر اف سی آن آمده است آماده و پک کرده و میفرستند
سرور هم با توجه به رکورد های موجود ، آی پی سرور مد نظر کاربر یا همان آی پی دامین را برای کاربر برمیگرداند👇
سرور هم با توجه به رکورد های موجود ، آی پی سرور مد نظر کاربر یا همان آی پی دامین را برای کاربر برمیگرداند👇
RFC
https://en.wikipedia.org/wiki/Request_for_Comments
مجموعه قوانین اساسی اینترنت و شبکه ها در این مستندات آر اف سی ، درج شده و همگان مطابق اینها، نوع پروتکل خود را انتخاب و با آن برنامه (APP)خود را هماهنگ میکنند
https://en.wikipedia.org/wiki/Request_for_Comments
مجموعه قوانین اساسی اینترنت و شبکه ها در این مستندات آر اف سی ، درج شده و همگان مطابق اینها، نوع پروتکل خود را انتخاب و با آن برنامه (APP)خود را هماهنگ میکنند
حال تانل زدن روی دی ان اس چیست ؟ و چطور هکر از آن برای انتقال دیتا استفاده میکند؟👇
فرض کنید من از سرور سایت زیر را درخواست میکنم
blog.logrhythm.com
این درخواست اما میتواند یک چنین جمله ای باشد که دستکاری شده است :
ZG9tYWluPWxvZ3JoeXRobTt1c2VyPXRlc3Q7cGFzc3dvcmQ9MTIzNDU=.logrhythm.com👇
blog.logrhythm.com
این درخواست اما میتواند یک چنین جمله ای باشد که دستکاری شده است :
ZG9tYWluPWxvZ3JoeXRobTt1c2VyPXRlc3Q7cGFzc3dvcmQ9MTIzNDU=.logrhythm.com👇
اما این درخواست رمز شده به شکل
Baseg64
این درخواست است :
“domain=logrhythm;user=test;password=12345”👇
Baseg64
این درخواست است :
“domain=logrhythm;user=test;password=12345”👇
اگر سرور در ان اس من از این تکنیک آگاه باشد میتواند نام کاربری و پسوردی که من برایش ارسال کرده ام را دریافت کرده و علیه دامنه من مورد استفاده قرار دهد👇
مثلا بد افزاری کامپیوتر های سازمان را آلوده کرده و شروع به جمع آوری این نامهای کاربری کرده است .برای عدم تشخیص ،ارسال آنها را از این روش انجام میدهد👇
سرور دی ان اس ی که فرد هکر راه انداخته است نیز جواب این کلاینت را میدهد بسته به نوع اطلاعات ارسالی آن کلاینت ، اطلاعات لازم را برای ادامه عملیات را ارسال میکند👇
تکنیک های متعددی برای کشف این نوع حمله وجود دارد که ما به برخی از آنها در امشب اشاره میکنیم
روش اول :
اصولا بصورت تجربی تعداد در خواست های دی ان اس کلاینت ها یا سرور های سازمان مشخص است (بصورت تقریبی ) و هرگونه آنومالی در این تعداد میتواند نشان از آلودگی آن کلاینت داشته باشد .چراکه هکر نمیتواند میزان پکت را از 512 بایت بیشتر در نظر بگیرد چون احتمال شناسایی شدن او بالاست . او شروع به شکست داده ها در اندازه های زیر 512 باست میکند لذا برای مثال ارسال نامهای کاربری مشتریان شما درخواست های دی ان اس آن کلاینت آلوده را تا 3 یا 4 برابر افزایش میدهد
اصولا بصورت تجربی تعداد در خواست های دی ان اس کلاینت ها یا سرور های سازمان مشخص است (بصورت تقریبی ) و هرگونه آنومالی در این تعداد میتواند نشان از آلودگی آن کلاینت داشته باشد .چراکه هکر نمیتواند میزان پکت را از 512 بایت بیشتر در نظر بگیرد چون احتمال شناسایی شدن او بالاست . او شروع به شکست داده ها در اندازه های زیر 512 باست میکند لذا برای مثال ارسال نامهای کاربری مشتریان شما درخواست های دی ان اس آن کلاینت آلوده را تا 3 یا 4 برابر افزایش میدهد
برای عمل کشف در لاگ ریتم ، یک نوع
SIEM
رولهای زیر را مینویسیم
اول برای دو الی یک هفته ،یک بیس لاین از درخواست های سرور ها وو کلاینت های سازمان ایجاد میکنیم
SIEM
رولهای زیر را مینویسیم
اول برای دو الی یک هفته ،یک بیس لاین از درخواست های سرور ها وو کلاینت های سازمان ایجاد میکنیم
سپس در رول بعدی ما میزان درخواست های دی ان اس امروز را با بیس لاین ( میزان مبنا ) را مقایسه میکنیم . پس از نوشت این دو رول ، پکیج ،آلارم هرنوع تخطی را اعلام میکند
این رول نیاز به یادگیری دارد ، یعنی نسبت به زمان ،روز خاص هفته یا سال ،بایستی تیون یا به اصطلاح یادگیری آن افزایش یابد تا این قلم زیر کاهش یابد (موارد اعلامی و اشتباه )
False positive
False positive