خب کلاینت از سرور ارایه دهنده خدمات دی ان اس درخواستش را مطابق استاندارد پروتکل دی ان است که در آر اف سی آن آمده است آماده و پک کرده و میفرستند
سرور هم با توجه به رکورد های موجود ، آی پی سرور مد نظر کاربر یا همان آی پی دامین را برای کاربر برمیگرداند👇
سرور هم با توجه به رکورد های موجود ، آی پی سرور مد نظر کاربر یا همان آی پی دامین را برای کاربر برمیگرداند👇
RFC
https://en.wikipedia.org/wiki/Request_for_Comments
مجموعه قوانین اساسی اینترنت و شبکه ها در این مستندات آر اف سی ، درج شده و همگان مطابق اینها، نوع پروتکل خود را انتخاب و با آن برنامه (APP)خود را هماهنگ میکنند
https://en.wikipedia.org/wiki/Request_for_Comments
مجموعه قوانین اساسی اینترنت و شبکه ها در این مستندات آر اف سی ، درج شده و همگان مطابق اینها، نوع پروتکل خود را انتخاب و با آن برنامه (APP)خود را هماهنگ میکنند
حال تانل زدن روی دی ان اس چیست ؟ و چطور هکر از آن برای انتقال دیتا استفاده میکند؟👇
فرض کنید من از سرور سایت زیر را درخواست میکنم
blog.logrhythm.com
این درخواست اما میتواند یک چنین جمله ای باشد که دستکاری شده است :
ZG9tYWluPWxvZ3JoeXRobTt1c2VyPXRlc3Q7cGFzc3dvcmQ9MTIzNDU=.logrhythm.com👇
blog.logrhythm.com
این درخواست اما میتواند یک چنین جمله ای باشد که دستکاری شده است :
ZG9tYWluPWxvZ3JoeXRobTt1c2VyPXRlc3Q7cGFzc3dvcmQ9MTIzNDU=.logrhythm.com👇
اما این درخواست رمز شده به شکل
Baseg64
این درخواست است :
“domain=logrhythm;user=test;password=12345”👇
Baseg64
این درخواست است :
“domain=logrhythm;user=test;password=12345”👇
اگر سرور در ان اس من از این تکنیک آگاه باشد میتواند نام کاربری و پسوردی که من برایش ارسال کرده ام را دریافت کرده و علیه دامنه من مورد استفاده قرار دهد👇
مثلا بد افزاری کامپیوتر های سازمان را آلوده کرده و شروع به جمع آوری این نامهای کاربری کرده است .برای عدم تشخیص ،ارسال آنها را از این روش انجام میدهد👇
سرور دی ان اس ی که فرد هکر راه انداخته است نیز جواب این کلاینت را میدهد بسته به نوع اطلاعات ارسالی آن کلاینت ، اطلاعات لازم را برای ادامه عملیات را ارسال میکند👇
تکنیک های متعددی برای کشف این نوع حمله وجود دارد که ما به برخی از آنها در امشب اشاره میکنیم
روش اول :
اصولا بصورت تجربی تعداد در خواست های دی ان اس کلاینت ها یا سرور های سازمان مشخص است (بصورت تقریبی ) و هرگونه آنومالی در این تعداد میتواند نشان از آلودگی آن کلاینت داشته باشد .چراکه هکر نمیتواند میزان پکت را از 512 بایت بیشتر در نظر بگیرد چون احتمال شناسایی شدن او بالاست . او شروع به شکست داده ها در اندازه های زیر 512 باست میکند لذا برای مثال ارسال نامهای کاربری مشتریان شما درخواست های دی ان اس آن کلاینت آلوده را تا 3 یا 4 برابر افزایش میدهد
اصولا بصورت تجربی تعداد در خواست های دی ان اس کلاینت ها یا سرور های سازمان مشخص است (بصورت تقریبی ) و هرگونه آنومالی در این تعداد میتواند نشان از آلودگی آن کلاینت داشته باشد .چراکه هکر نمیتواند میزان پکت را از 512 بایت بیشتر در نظر بگیرد چون احتمال شناسایی شدن او بالاست . او شروع به شکست داده ها در اندازه های زیر 512 باست میکند لذا برای مثال ارسال نامهای کاربری مشتریان شما درخواست های دی ان اس آن کلاینت آلوده را تا 3 یا 4 برابر افزایش میدهد
برای عمل کشف در لاگ ریتم ، یک نوع
SIEM
رولهای زیر را مینویسیم
اول برای دو الی یک هفته ،یک بیس لاین از درخواست های سرور ها وو کلاینت های سازمان ایجاد میکنیم
SIEM
رولهای زیر را مینویسیم
اول برای دو الی یک هفته ،یک بیس لاین از درخواست های سرور ها وو کلاینت های سازمان ایجاد میکنیم
سپس در رول بعدی ما میزان درخواست های دی ان اس امروز را با بیس لاین ( میزان مبنا ) را مقایسه میکنیم . پس از نوشت این دو رول ، پکیج ،آلارم هرنوع تخطی را اعلام میکند
این رول نیاز به یادگیری دارد ، یعنی نسبت به زمان ،روز خاص هفته یا سال ،بایستی تیون یا به اصطلاح یادگیری آن افزایش یابد تا این قلم زیر کاهش یابد (موارد اعلامی و اشتباه )
False positive
False positive
روش دوم : وجود اعداد در URL
در روش Base64
خروجی شامل عدد است اما ما معمولا در درخواست های
URL
عدد نباید داشته باشیم
از این دانسته میتوانیم در پایش درخواستهایی که در حال انتقال دیتای سازمان به خارج هستند استفاده کنیم
در روش Base64
خروجی شامل عدد است اما ما معمولا در درخواست های
URL
عدد نباید داشته باشیم
از این دانسته میتوانیم در پایش درخواستهایی که در حال انتقال دیتای سازمان به خارج هستند استفاده کنیم
در آینده تکنیک های پیشرفته در این حوزه را مورد بررسی قرار خواهیم داد .
هر آنچه در مورد امنیت vSphere
میخواهید بدانید
اما خواندن این مستند به تنهایی برای پیاده سازی امنیت زیرساخت مجازی کافی نیست .
@roozbeh_learning 👈🏼
میخواهید بدانید
اما خواندن این مستند به تنهایی برای پیاده سازی امنیت زیرساخت مجازی کافی نیست .
@roozbeh_learning 👈🏼
vsphere_esxi_vcenter_server_602.pdf
3.7 MB
مستند هر آنچه در مورد امنیتِ vSphere
میخواهید بدانید .
اما خواندن این مستند به تنهایی برای پیاده سازی امنیتِ زیرساختِ مجازی کافی نیست .
@roozbeh_learning 👈🏼
میخواهید بدانید .
اما خواندن این مستند به تنهایی برای پیاده سازی امنیتِ زیرساختِ مجازی کافی نیست .
@roozbeh_learning 👈🏼