流量检测主机漏洞之困顿
几个主机漏洞的环境搭好,等待dpi数据的流入,遗憾的是,dpi今天的配置终于弄好了,持续了两三个星期,而没有数据。现在有数据了,EXP一打,日志出来了,结果并没有buf的内容,只有常规的 源IP源端口,目的IP目的端口,网络层应用层协议,以及一些进出数据量的大小,并没有具体的内容。而且不能用关联,只能用单条日志匹配。所以之前做的漏洞检测大多废了用不上。如果一定要用,只能取发送Buf的bytesIn、bytesOut和bytesAll了。
没有字段是因为大数据分析的数据需要关联分析,所以需要保留,而流量日志不太好照单全收、全部存储,那样数据量太大了。所以,如果一定需要,只能向 dpi端的开发人员提需求,获取发送的数据包的前n个字节的内容,用于检测主机漏洞EXP发送的buf的特征,可以再结合bytesIn bytesOut bytesAll 字段,两个方面一起检测。
大概要转向web端的CMS、框架漏洞了,这方面字段比较多,也不用看二进制,比较容易吧。