当前位置:首页 > 信息安全 > 正文内容

对一个工控蜜罐日志的分析

七星2年前 (2022-07-05)信息安全1105

这里是需要做的是从工控蜜罐的日志中,找到对西门子的私有通信协议扫描最多的IP地址。

先放上日志:

查一下,西门子的私有通信协议是S7系列:

然后在日志里,提取出来带有S7的数据:

然后总共有1183条,然后匹配出里面的IP地址:

IP已经拿到了,接着就是计数,然后就出来了:


对日志的分析,就是对每个IP的行为进行分析,IP行为大致分为三类:

正常访问,各种爆破,和入侵后的操作。

通常有设日志分析系统,会对一些行为误报,这时候,就需要对日志进行分析,然后不断对日志设备的匹配规则做更改更正,已达到自己业务的需求。

七星比特|qixingbit.com

相关文章

XCTF_pwn新手区_level0

XCTF_pwn新手区_level0

拿到题,执行一下,然后看一下保护:程序只开了NX.这里记录一下NX:NX:NX是数据与程序的分水岭,栈溢出核心思想是通过局部变量覆盖函数返回地址来修改EIP注释1和注入 Shellcode注释2,在函...

CTF中关于RSA算法的攻击方式

CTF中关于RSA算法的攻击方式

RSA算法本身是安全的.但是他的不正确用法使得RSA算法的攻击成功率提高了.RSA算法在之前的文章中详细的介绍了.其攻击的核心就是获取两个大素数p和q.RSA算法也是针对c, m, e, d, n,...

渗透测试_权限维持

渗透测试_权限维持

前言渗透测试权限维持比较重要,所以要掌握一些重要的权限维持手段.本文讲述Windows和Linux的权限维持, 以及被攻击后的防御手段.Windows篇较为常见的提权手段ms17_058ms16_01...

DC-1 对一个靶场的综合渗透

DC-1 对一个靶场的综合渗透

环境准备1. 下载下载地址 2. 导入直接使用VMware导入即可,网络选择nat,方便nmap直接扫描。 开始1. 确认目标确定网络正常后,使用nmap开始扫描nat全段:254是网关,1是我物...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。