ورود / ثبت نام
ورود / ثبت نام
تهدید سایبری RECON

آشنایی با نحوه شناسایی تهدید سایبری RECON

هکرها در گام اول حمله به سیستم‌ها کاربران، از یک سری اسکن جهت کسب اطلاعات در مورد شبکه‌ها یا رایانه‌ها استفاده می‌کنند. این اسکن‌های داخلی یا خارجی، که به عنوان شناسایی یا ریکان (Recon) شناخته می‌شوند، از اولین نشانه‌ هایی است که شبکه شما در خطر است!

راهکار سیسکو SNA

محصول SNA سیسکو یک راهکار قدرتمند برای شناسایی این نوع از تهدید ها می‌باشد.هشدارهای ریکان (Recon) در Cisco Secure Network Analytics نشان دهنده وجود اسکن‌های غیرمجاز و احتمالاً مخرب، با استفاده از TCP یا UDP در برابر Hostهای سازمان شما است.

هشدارهای ریکان (Recon)

بصورت کلی هشدارها در سیسکو SNA بر اساس نوع رویدادهای امنیتی که رخ می‌دهد، ایجاد می‌شود و بسته به نوع هشدار، آن در یکی یا چند دسته هشدار گروه‌بندی می‌شود.

رویدادهای امنیتی در جدول زیر با دسته هشدار ریکان (Recon) مرتبط هستند. ستون دوم تعداد Index Points مرتبط به دسته هشدار را نشان می‌دهد. هرچه تعداد این Index Points بیشتر باشد، اهمیت آن هشدار هم افزایش میابد.

رویدادهای کلیدی

اینجا نگاهی دقیق‌تر به برخی از رویدادهای کلیدی برای دسته هشدار ریکان (Recon) داریم:

  • رویداد Addr_Scan/tcp: اگر Secure Network Analytics فعالیتی را که احتمالاً نشان دهنده انجام اسکن شبکه با استفاده از TCP است تشخیص دهد، این سیستم آن را به عنوان یک رویداد اسکن ثبت می‌کند. اگر تعداد کافی از رویدادهای اسکن تعداد قابل توجهی از میزبان‌ها را تحت تأثیر قرار دهد، مدیر Secure Network Analytics یک رویداد امنیتی ایجاد می‌کند. نمونه‌هایی از رویدادهای اسکن شامل ترکیب‌های مختلف پرچم‌های TCP نادرست یا ارسال SYN اما پاسخ ندادن به SYN-ACK بعدی است. میزبان متخلف به دنبال میزبان‌هایی با سرویس‌هایی است که می‌توانند مورد سوءاستفاده قرار گیرند.
  • رویداد Addr_Scan/udp: اگر Secure Network Analytics فعالیتی را که احتمالاً نشان دهنده انجام اسکن شبکه با استفاده از UDP است تشخیص دهد، این سیستم آن را به عنوان یک رویداد اسکن ثبت می‌کند. اگر تعداد کافی از رویدادهای اسکن تعداد قابل توجهی از میزبان‌ها را تحت تأثیر قرار دهد، مدیر یک رویداد امنیتی ایجاد می‌کند. نمونه‌هایی از رویدادهای اسکن شامل ارسال بسته‌های UDP است که با انواع مختلف رد ICMP یا پیام‌های رد جریان فایروال به آنها پاسخ داده می‌شود. میزبان متخلف به دنبال میزبان‌هایی با سرویس‌هایی است که می‌توانند مورد سوءاستفاده قرار گیرند.
  • رویداد Ping_Scan: یک اسکن ICMP به طور معمول یک نوع شناسایی اولیه است زیرا، برخلاف اسکن یک پورت خاص در میان میزبان‌ها یا پورت‌های زیادی در یک میزبان، تنها به دنبال هر میزبان پاسخگو است و نه یک سرویس خاص. یک میزبان در حال انجام اسکن پینگ، فقط در تلاش برای یافتن سایر میزبان‌های فعال در یک شبکه است، احتمالاً برای بررسی بیشتر.
  • رویداد Port Scan: اسکن پورت تعداد پورت‌های زیر 1024 را که یک میزبان با میزبان دیگری صحبت می‌کند، شمارش می‌کند. هنگامی که آستانه قابل پیکربندی رد شود، رویداد فعال می‌شود.
  • رویداد Stealth_Scan/tcp: میزبان منبع از یک پورت منبع یکسان برای اتصال به پورت‌های مختلف در میزبان هدف در یک زمان استفاده کرده است. این رفتار نشان می‌دهد که برنامه‌ها از سوکت‌های خام برای ایجاد اتصالات TCP یا UDP استفاده کرده‌اند. رویداد امنیتی آخرین پورت هدف را که قبل از شناسایی رویداد امنیتی به آن دسترسی پیدا شده است، نشان می‌دهد.
  • رویداد Stealth_Scan/udp: این یک اسکن UDP سفارشی است که در آن میزبان شماره پورت‌ها را دوباره استفاده می‌کند. این اغلب نشان می‌دهد که میزبان اسکن در حال بسته‌بندی بسته‌ها است و به دنبال میزبان‌هایی برای حمله است.

بررسی فعالیت ریکان (Recon)

سرویس مدیریتی SNA SMC یک ابزار جامع برای بررسی فعالیت‌های ریکان (Recon) ارائه می‌دهد. ما یک بررسی رایج را با استفاده از این ابزار نشان خواهیم داد.

در SMC، داشبورد Security Insight دسته‌های هشدار را در بالا نشان می‌دهد. به راحتی می‌توانید تعداد Hostهایی را که هشدارها را ایجاد کرده‌اند، مشاهده کنید. تصویر زیر نشان می‌دهد که دو میزبان وجود دارند که رویدادهای Recon را ایجاد می‌کنند. روی شماره نشان داده شده در دسته Recon کلیک کنید.

فهرست میزبان‌های دارای هشدار در دسته Recon نمایش داده می‌شود. برای نمایش یک گزارش برای آن رویداد به همراه جزئیات دلیل آن، روی درصد در ستون RC کلیک کنید.

صفحه Recon Alarms برای میزبان خاص نمایش داده می‌شود. برای اطلاعات بیشتر، روی جزئیات کلیک کنید.

صفحه رویدادهای امنیتی نمایش داده می‌شود که نشان می‌دهد رویداد Port Scan این هشدار را فعال کرده است.

رویداد امنیتی  Port Scan 13 در ردیف اول گزارش شده است، به دنبال آن Address Scan و سایر رویدادها آمده‌اند. برای تحقیق بیشتر در مورد جریان‌ها، روی Flows مرتبط کلیک کنید.

تهدید سایبری RECON

اشتراک گذاری در:

نویسنده:یوسف نگهداری
تاریخ انتشار:1403/03/15
مدت مطالعه: 4-5 دقیقه
دسته بندی:Security, Monitoring
  • سرفصل ها

مقالات مرتبط

مانیتورینگ پهنای باند مصرفی کاربران

مانیتورینگ پهنای باند مصرفی کاربران

با مانیتورینگ پهنای باند مصرفی، می‌توانی استفاده بهینه از اینترنت را تضمین کنی. این کار به تو امکان می‌دهد تا از هزینه‌های اضافی جلوگیری کرده و سرعت اتصال خود را بهبود بخشی. راه حل سیسکو SNA کلید داشتن نظارت بر همین قضیه است …

29 مرداد 1403

نویسنده: یوسف نگهداری

آنالیز ترافیک رمزگذاری شده (ETA)

آنالیز ترافیک رمزگذاری شده (ETA)

امروزه وقتی صحبت از امنیت دیتا میشه، رمزنگاری یکی از مهم‌ترین چیزایی هست که همه روی اون تاکید می‌کنن. ولی خب رمزنگاری هم خالی از ریسک نیست. رمزنگاری یه شمشیر دولبه هست که باید خیلی محتاطانه باهاش برخورد کرد و هر سازمانی نیاز به یه راهکار برای بررسی ترافیک رمزنگاری شده هست تا دیتای مخرب رمزنگاری شده رو تشخیص بده!

16 مرداد 1403

نویسنده: زهرا ژاکی

راهکار تشخیص ناهنجاری در شبکه با استفاده از SNA

راهکار تشخیص ناهنجاری در شبکه

امروزه یکی از چالش‌های جدی در حوزه امنیت سایبری ناهنجاری یا Anomaly هست! تیم‌های امنیتی باید مدام ترافیک شبکه رو زیر نظر داشته باشن تا هر جریان یا رفتار غیرعادی رو سریع تشخیص بدن. سیستم‌های تشخیص ناهنجاری با بررسی الگوهای ترافیک شبکه سعی می‌کنن فعالیت‌های مشکوک مثل حملات DDoS، اسکن پورت‌ها یا ترافیک غیرمعمول رو زودتر بفهمن.

31 تیر 1403

نویسنده: نوید

تشخیص تهدید Beaconing

تشخیص تهدید Beaconing

این یکی از مخرب‌ترین تهدیدهای شبکه‌ای به حساب میاد. در این مدل، یه بدافزار یا کد مخرب نصب شده روی سیستم قربانی، سعی می‌کنه به صورت پنهانی و با فواصل زمانی منظم، داده‌ها رو از شبکه داخلی به یک سرور کنترل خارجی منتقل کنه برای مقابله باهاش باید از تکنیک‌های پیشرفته نظارت بر شبکه، آنالیز ترافیک عمیق و سیستم‌های هوشمند تشخیص تهدید استفاده کرد تا بتونیم حرکات مشکوک و ناهنجار رو زودتر کشف کنیم!

23 تیر 1403

نویسنده: یوسف نگهداری

آشنایی با تهدید Data Hoarding

آشنایی با تهدید Data Hoarding

داستان این تهدید انباشت داده یکم عجیب و غریبه. در این مدل، هکرها یا افراد سودجو سعی می‌کنن به هر نحوی شده، هرچقدر داده از یک سازمان یا شرکت رو که می‌تونن جمع کنن. حتی اگه این داده‌ها به ظاهر بی‌ارزش یا غیرمحرمانه باشن. هدفشون اینه که انبوهی از داده رو انباشته کنن تا بعدا بتونن از ترکیب و تحلیل این داده‌ها، اطلاعات حساس و باارزشی رو استخراج کنن. کنترل این تهدید نیاز به راهکار پیچیده برای رفتارشناسی کاربران داره!

9 تیر 1403

نویسنده: ستایش زمانی

قابلیت VDOM در فورتی گیت

قابلیت VDOM در فورتی گیت

فورتی گیت با قابلیت VDOM می‌تونه به چند تا دستگاه مجازی تبدیل بشه که هر کدوم سیاست‌های امنیتی، مسیریابی و مدیریت خودشون رو دارن. این قابلیت برای تقسیم‌بندی شبکه، افزایش امنیت و مدیریت آسون‌تر دستگاه مناسبه.

22 خرداد 1403

نویسنده: نوید

نظرات کاربران

{{ reviewsTotal }}{{ options.labels.singularReviewCountLabel }}
{{ reviewsTotal }}{{ options.labels.pluralReviewCountLabel }}
{{ options.labels.newReviewButton }}
{{ userData.canReview.message }}

نت وی بلاگ

هدف نت وی بلاگ، ارتقاء دانش و آگاهی مخاطبان در زمینه شبکه‌ها و فناوری اطلاعات از جمله مهندسان IT و علاقمندان به این حوزه است . ما در نت وی بلاگ قصد ارائه راه‌حل‌ها و پاسخ به چالش‌ها و مسائل مختلف در زمینه شبکه و فناوری اطلاعات داریم به طوری که مخاطبان به عنوان یک منبع قابل اعتماد برای پیدا کردن راه‌حل‌های موثر و سریع به مشکلات خود دسترسی داشته باشند.

اگر دوست دارید در جریان آخرین اخبار ما باشید، ایمیلتون را وارد کنید: