蜜罐捕获的威胁情报的一些体会
今年51期间,公网上部署了10多台DecoyMini,对借助蜜罐生成情报做了一些总结。蜜罐时发现自动化攻击很有效的方法。主要的情报类型包括:
类型 描述
暴力破解 针对常用网络服务(Telnet/23、SSH/22、FTP/21、RDP/3389、VNC/5900)暴力破解的IP数据。包含了尝试行为以及破解后的登录行为。
高危登录 针对常用网络服务(Telnet/23、SSH/22、FTP/21、RDP/3389、VNC/5900、MYSQL/3306)的登录行为的IP。该行为基本都是在破解成功的基础上登录系统,并执行了相关的命令操作。
数据库扫描 针对常用的数据库服务(Elasticsearch/9200、Redis/6379、mariadb/3306、memcached/11211等)数据库的扫描IP。
数据库攻击 利用常用的数据库服务(Elasticsearch/9200、Redis/6379、mariadb/3306、memcached/11211等)未授权访问等漏洞获取权限并执行数据库操作指令的IP。
扫描器情报 针对TCP、UDP或ICMP三种协议的扫描探测行为。主要包括135、139、445等常用端口。 感谢分享{:1_459:} {:5_150:} 感谢分享 感谢分享
页:
[1]