最近在查修內部主機間連線Timeout的問題,寫了一個簡單的Script可以做icmp與tcping的每秒監控(依需求修改IP&port),可以用來監控網路品質的狀況,有異常的packet loss都會被記錄下來存成文字檔。
ICMP_Monitor.bat的Script內容如下
@echo off
:loop
echo %date% %time% >> ICMP_Monitor.txt
ping gmail.com -w 1000 -n 10 >> ICMP_Monitor.txt
goto loop
TCP_Ping.bat的Script內容如下
@echo off
:loop
echo %date% %time% >> TCP_Ping.txt
tcping -n 10 -d gmail.com 443>> TCP_Ping.txt
goto loop
收集一天的log文字檔案大小約10MB,關掉視窗就停止監控了
(繼續閱讀...)
2016年6月25日
2016年6月10日
透過Splunk 分析惡意C&C伺服器
最近公司有個資安上的需求,需要對於DNS的Log做分析,簡單來說就是有人的電腦可能被植入木馬或是不明原因造成會去連一些惡意的中繼伺服器 (C&C伺服器),雖然已事先在DNS主機上對於這些C&C伺服器清單做了強制的Hosts檔對應到一組不存在的IP,然後再透過Firewall做阻攔,但因為仍無法看到是否為偶發性的上網點到廣告網址或是真的中了木馬才去連線C&C伺服器的List清單,因些有需要將DNS的Log分析,並在有異常時可以自動發出告警信來通知相關資安處理人員。幸好目前的上班公司有買Splunk,那就來做一下大數據分析囉!!!
以下為利用虛擬機器在VM上的LAB實作的步驟
Step 1:先在DNS Sever上將偵錯模式打開,記錄DNS的查詢封包的Log,選勾以下選項可以知道哪些內部電腦查詢了哪些網址,之後會透過Splunk分析這些網址與C&C伺服器清單做大數據比對,不需要勾選到詳細資料的欄位,因為這樣子Log會長的太快,而且不利分析,只需要知道簡單的幾個必要欄位即可
(繼續閱讀...)
以下為利用虛擬機器在VM上的LAB實作的步驟
Step 1:先在DNS Sever上將偵錯模式打開,記錄DNS的查詢封包的Log,選勾以下選項可以知道哪些內部電腦查詢了哪些網址,之後會透過Splunk分析這些網址與C&C伺服器清單做大數據比對,不需要勾選到詳細資料的欄位,因為這樣子Log會長的太快,而且不利分析,只需要知道簡單的幾個必要欄位即可
(繼續閱讀...)
訂閱:
文章 (Atom)