事件处理概述--PAWSS基础模块 0621

绿盟网站安全监测服务的功能

脆弱性检测：网站漏洞扫描 安全通告

可用性检测：网站平稳度检测 网页测速 域名解析监测

完整性监测：网页挂马监测 网页篡改监测 敏感内容监测

认证检测：钓鱼网站监测

重点：基本监控原理

事件处理流程

网络基础

平稳度模块

DNS模块

篡改模块

挂马模块

osi参考模型

具体7层 数据格式 功能与连接方式 典型设备

应用型application 网络服务与使用者应用程序

之间的一个接口

表示层presentation 数据表示 数据安全 数据压缩

会话层session 建立管理和终止会话

传输层transport 数据组织成数据段 用一个寻址机制来表识一个

特定的 应用程序（端口号）

网络层network 分割和重新组合数据包 基于ip地址进行不同网络系统 路由器

packet 间的路径选择

数据链路层 将比特流封装成数据帧 用MAC地址来寻址 网桥 交换机 网卡

data lnk

物理层physical 传输比特流 建立 维护和取消物理链接 光纤 同轴电缆

ip（ipv6） 在网络上标识主机

域名 baidu.com 主域名

www.baidu.com 二级域名

bbs.baidu.com 二级域名

DNS（domain name system）域名系统 域名和ip相互映射 迭代查询

在网络上会有不同角色安全价值的破坏

扫描器产品定位

web扫描：web应用 第三方web组件 web服务

系统扫描：数据库 应用程序 操作系统 基础网络

网站***-web漏洞发现-跨站泄漏-信息泄露-sql注入-信息窃取-网页篡改

如何改变现状： web扫描器

******最根本依据在于发现，利用web漏洞

先于***发现并修复web漏洞，始终是治本的最佳方法

自动化的web漏洞检查工具--web扫描器

Dos(denial of service) 拒绝服务 属于***早期形态

DDos分布式拒绝服务 当前主流***手段 主要消耗网络带宽，消耗主机资源 ，利用主机发起***

ddos主要是***通过命令去阻塞沿途带宽，***基础网络设施（使合法使用者没有带宽，访问的域名不能通过DNS访问最终的服务器），通过DNS域名解析系统访问到要***的服务器

平稳度模块

超文本传输协议

http是如何工作的

cp建立连接--发送请求信息--server--发送响应信息--cp端关闭连接

平稳度事件类型：连接断通 连接延时 异常返回码 波动

http响应状态码： 1xx 指示信息 表示请求已接收，继续处理

2xx 成功 表示请求已被成功接收 理解 接收

3xx 重定向 要完成请求必须进行更进一步的操作

301 永久重定向

302 暂时性转移

4xx 客户端错误 请求有语法错误或者请求无法实现

400 Bad Request 客户端请求有语法错误

403 Forbidden 服务器收到请求 但是拒绝提供服务

404 Not Found 请求资源不存在 eq：输入了错误的URL

5xx 服务器端错误 服务器未能实现合法的请求

500 Internal server error 服务器发生不可预期的错误

503 server unavailable 服务器当前不能处理客户端的请求 一段时间后可能恢复正常

验证小工具 ping telnet curl

ping -t 域名/ip 测试主机是否存活 ping www.baidu.com ping 172.25.254.1

telnet 主机名/ip 端口 判断端口是否开放 telnet -antlpe | grep mysql/3306

curl -v 域名 显示向服务器发送的所有命令

curl -I 域名 仅显示header

常见端口 80 HTTP 用于网页浏览

443 HTTPS 提供加密和安全传输的另一种HTTP

21 FTP 用于上传 下载

23 TELNET 远程登录

25 SMTP 用于发送邮件

8080 http 用于网页浏览 被用于www代理服务器

traceroute监测发出数据包到目标主机所经过的路由工具

平稳度监测验证流程

手动访问 点击"验证"按钮

备注要求

看协议 http https tcp ping

浏览器直接访问 http https/ie chrome firefox/wap

查看'相关事件'

辅助判断工具

重点客户 （××× 民生银行 移动类客户 ）

网页测速 从各省运营商网络路线远程实时监测目标网页页面元素的加载速度，一旦发现网页加载速度超过用户设置阈值 ，第一时间通知客户

网页测速其实就是对网页的元素做监控 zabbix cacti

网页测速服务的开启

录入授权 PAWSS-PS

选择测速各地监测点 3个监测点 IDC&LastMile

添加测速关键页面 测试客户仅提供主页测速服务，最多不超过5个关键页面

DNS模块

ALIAS 域名的别名

NS 授权域服务器

SOA 起始授权记录

mname（主服务器）当前区的数据源服务器

rname （负责人邮箱） 当前区负责人的邮箱

邮件 指的是邮件服务器

dig命令集 dig www.126.com 查询www.126.com的A记录

dig www.126.com @212.89.34.20 在212.89.34.20服务器上查询www.126.com的记录

dig www.126.com +trace 跟踪一个域名解析的过程

清除本地DNS缓存

ipconfig

ipconfig /?

ipconfig /all

ipconfig /displaydns 查看本机的DNS缓存列表

ipconfig /flushdns 清除本地DNS缓存命令

指定服务器进行解析 nslookup

nslookup /?

nslookup -qt=类型 目标域名 指定的DNS服务器IP或域名

eq：nslookup -qt=A 域名8.8.8.8

DNS监测验证流程

"dig"按钮 手动dig

备注要求

查看"相关事宜"

辅助判断工具（监控宝 阿里测 17CE）

看域名能否正常访问

重点客户（招商银行 华夏基金）

篡改模块

什么是篡改 篡改=写权限

篡改--目的性--显示结果

爬虫又称为网页蜘蛛 可以抓取网络上的脚本和信息

关键页面 1爬虫 深度爬虫pycurl 搜索引擎google/baidu

2手动添加

网页篡改监测验证流程

手动访问 "查看详情"按钮 下载场景文件

备注要求

查看"相关事宜"

重点客户（国信证券）

挂马模块

网马 网马类型： 1系统漏洞 浏览器漏洞 各种组件漏洞

2软件漏洞 flash播放器 浏览器插件 office漏洞 其他应用软件

制作*** ---植入网页***

***又称为***病毒 是通过特殊程序通过一台电脑控制另一台电脑

挂马过程 制作***-***免杀-制作网页***-***网站-植入网页***