2020年7月10日 星期五

端點偵測


arp偵測區網的可疑ip


1.判斷主機有哪些可開放的port
2.應該要鎖定對外開方的port(windows防火牆規則設定)
3.找出主機對外連線(Listener)的可疑ip及port及該應用程式
4.中斷該應用程式連線並搬移該應用程式觀察或刪除


在這些欄位中要特別檢視的是 『Local Address』欄位內的 port number 以及『State』欄位的 SYN_SENT 這個狀態。 若出現大量的連線,port number 呈現連續性(正常的話應為隨機性,不至於出現大量的連續性,除非整個網路只有一部主機連線),並且『State』持續為 SYN_SENT 的狀態時,則可大約判定網路連線是處於異常狀態。 找出開啟網路連線的程式

http://wiki.kmu.edu.tw/index.php/%E6%89%BE%E5%87%BA%E9%96%8B%E5%95%9F%E7%B6%B2%E8%B7%AF%E9%80%A3%E7%B7%9A%E7%9A%84%E7%A8%8B%E5%BC%8F

沒有留言:

張貼留言