痛苦金字塔
简单地说就是被防守方发现痕迹的时候,攻击方的头疼程度。
由低到高:
- 哈希值(不值一提)
- IP地址(容易)
- 域名(简单)
- 主机工件(烦人):
主机工件是攻击者在系统上留下的痕迹或可观察到的内容,例如注册表值、可疑进程执行、攻击模式或 IOC(妥协指标)、恶意应用程序丢弃的文件或当前威胁独有的任何内容 - 网络工件(烦人的):
可以是用户代理字符串、C2信息或后跟 HTTP POST 请求的 URI 模式。攻击者可能会使用以前在您的环境中未观察到的或看起来不寻常的用户代理字符串。用户代理由RFC2616定义为请求标头字段,其中包含有关发起请求的用户代理的信息。 - 工具(具有挑战的):
- TTP(技战法 困难的):
Snort:开源的、基于规则的网络入侵检测和防御系统(NIDS/NIPS)
| 范围 | 描述 |
| -l | 记录器模式、目标日志和警报输出目录。默认输出文件夹是/var/log/snort默认操作是在/var/log/snort中转储为 tcpdump 格式 |
| -K ASCII | 以 ASCII 格式记录数据包。 |
| -r | 读取选项,读取Snort中转储的日志。 |
| -n | 指定将处理/读取的数据包数量。Snort 在读取指定数量的数据包后将停止。 |