WAF防护原理

image-20240226191554248

WAF简单描述,就是解析HTTP请求(协议解析模块),规则检测(规则模块),做不同的防御动作(动作模块),并将防御过程(日志模块)记录下来。

  • 配置模块
  • 协议解析模块
  • 规则模块
  • 动作模块
  • 错误处理模块

WAF处理流程

image-20240226200929074

image-20240226200954508

Hfish蜜罐

image-20240226202939497

image-20240226203122819

概念

image-20240226203829658

分类

image-20240226204916587

蜜罐工作原理

image-20240226205209483

蜜罐技术

隐藏技术
image-20240226211135107
牵引技术

image-20240226211153691

诱饵技术

image-20240226211427595

反制技术

image-20240226211707236

识别技术

image-20240226213527018

协议识别技术

image-20240226213549641

环境特征

部分蜜罐的用户名、密码固定,或内存使用、进程占用等动态特征变化较为规律,可以通过这种方式来判断是否为蜜罐

Wazuh

image-20240226214215130

支持的功能:

  • 日志数据收集
  • 文件完整性监控
  • 审计who-data
  • 异常和恶意软件检测
  • 安全配置评估
  • 监控安全策略
  • 监控系统调用
  • 命令监控
  • 主动响应

使用wazuh

如果对部署了wazuh的机器进行爆破,则会在wazuh-dashboard中显示

image-20240227085942356

image-20240227090052681

文件完整性检测

linux

image-20240227090316486

image-20240227090953320

image-20240227092428816

windows

image-20240227091236575

SQL注入检测

image-20240227090908003

image-20240227093256264

image-20240227093526026