被动防御–>主动防御–>主动(适度)进攻
作者 appleleaf | 2010-01-27 02:42 | 类型 网络安全, 行业动感 | 12条用户评论 »
有关主动防御技术的定义。不知道谁先提出来的概念。基本上我觉得可以这么解释: know what的防御方式属于被动防御,应对已知攻击的常见防范方式。 know how的防御方式属于主动防御,根据行为判定进行攻击与否的度量,可以应对未知攻击。 但是大家是否也曾想过安全设备可以主动进攻呢?例如发现有人attack你,正当防卫的同时可不可以冲到对方系统上还击一两下或者温柔一点的可以冲上去给对方打个patch。我曾经这样幻想过,认为这是技术上的趋势,但是实际部署上显然不可行,谁这么干就是自找麻烦。 然则近日夜读天书的时候发现真有人这么干,参看如下图表。
上述行为谈不上主动进攻,但已经可以说是适度的进攻了,有识之士可以顺着这个方向拓展一下思路。 另外善意的提醒脚本小子,别以为穿上马甲就不认识你了,还是要提高自身的技术水平,才能不被抓获。 | |
雁过留声
“被动防御–>主动防御–>主动(适度)进攻”有12个回复
这个在立法时候要怎么判断正当防卫或防卫过度呢?比如web server搞着搞着把脚本男的个人信息都down出来了。。。
这种feature在商业产品中暂时是不会出现的。
但是属于比较新鲜的思路。
我觉得蜜罐做这个事最合适不过,正常的服务器要干这个分心太多了。
要么就检测设备一旦发现公鸡,立刻变身为蜜罐,或者把公鸡吸引到蜜罐上,即时追查。能这么样那就很牛逼了。
叶子,华赛的USG系统,思科的ASA系统也归你负责了。例如,能否系列的,系统的去研究研究ASA,特别是高端产品。并且写出最权威的中文方面的技术专题?不要急,但可以开始,并且学习,跟踪。
首席对我要求过高,需要私下结交一些华赛,思科的高手共同完成。
赫赫,思科的CPP文档对中国属于机密状态,叶子最好越洋结交,没准能挖出些猛料。敢问叶子可在大宋?
叶子是宋人。
想想唏嘘啊,当年Cisco是那么Open,网站上原理介绍什么的资料都有,一般不用外人爆料,主动就贴出来了。
觉得这个方法不可行,这个方法只能搞定那些通过浏览器进行试探攻击的家伙。比如手工测试网站是否存在注入点的时候。另外还有一个前提是对方要支持java,否则applet根本无法执行。但是只要对方在浏览器里面进行了一些禁用的设置,这种方法就不奏效了。
而对于通过工具进行的攻击,如CC,是根本不关心server端返回的数据的,其applet也根本无法执行。所以也不能奏效。
再有就是对攻击的判断问题,如何准确的判断攻击行为一直是安全的一个大课题,如果不解决这个问题,对着一大堆误报/漏报出来的日志,其有效性也很难说。
To vincentxu, CPP文档真的对中国属于机密状态么? Cisco China肯定有人在玩的.
zeroflag兄所言极是,有上述限制,只是一个思路。
abc和vincentxu兄,请教CPP文档是什么意思?
Cisco的一个转发架构而已, IOS-XR和IOS-XE都在用这个架构
To appleleaf
CPP 首席不是之前专门介绍过,Cisco的现在差不多核心产品了。
To abc
即使有人在玩,估计人数不多。ASR系列在中国可能开发的规模都很有限,重点还是美国开发的。
另外,机密不是密不透风,机密代表公司的态度。这是我说的重点。