Как установить который IP использовать для Запроса HTTP?
Я запущу путем высказывания этого, если у Вас не будет ФАЙЛОВ ЖУРНАЛА, затем существует довольно хороший шанс, что Вы никогда не будете понимать где или как нападение, за которым следуют. Даже с полными и надлежащими файлами журнала, может быть чрезвычайно трудно понять полностью, кто, что, где, когда, почему и как.
Так, зная, как важные файлы журнала, Вы начинаете понимать, как безопасный необходимо сохранить их. Который является, почему компании делают и должны вкладывать капитал в Информацию о безопасности и Организацию мероприятий или SIEM, если коротко.
Короче говоря корреляция всех Ваших файлов журнала в определенные события (основанный на времени или иначе) может быть чрезвычайно грандиозной задачей. Просто смотрите на свои системные журналы брандмауэра в режиме отладки, если Вы не верите мне. И это только от одного устройства! Процесс SIEM помещает эти файлы журнала в серию логических событий, которая делает выяснение, что произошло, намного легче понять.
Начать иметь лучшее понимание, как, полезно изучить методологии проникновения.
Также полезно знать, как вирус записан. Или как записать руткит.
Может также быть чрезвычайно выгодно установить и изучить ловушку.
Это также помогает иметь синтаксический анализатор журнала и стать опытным с ним.
Полезно собрать базовую линию для Вашей сети и систем. Что такое "нормальная" торговля Вашей ситуацией по сравнению с "аварийным" трафиком?
CERT имеет превосходное руководство по тому, что сделать после того, как Ваш компьютер был взломан, прежде всего (который непосредственно принадлежит Вашему конкретному вопросу), раздел по "Анализирует проникновение":
- Ищите модификации, сделанные к системному программному обеспечению и конфигурационным файлам
- Ищите модификации к данным
- Ищите инструменты и данные, оставленные позади злоумышленником
- Рассмотрите файлы журнала
- Ищите знаки сетевого анализатора
- Проверьте другие системы в своей сети
- Проверьте на системы, включенные или затронутые на удаленных сайтах
Существует много вопросов, подобных Вашему, который спросили относительно SF:
- Как сделать вскрытие взлома сервера
- Странные объекты в Hosts File и Netstat
- действительно ли это - попытка взлома?
- Как я могу изучить Linux с точки зрения безопасности или взламывания
Это может быть чрезвычайно замысловатым и включенным процессом. Большинство людей, меня включенный, просто наняло бы консультанта, если бы это больше принимало участие, чем, что могли соединить мои устройства SIEM.
И, по-видимому, если Вы когда-нибудь хотите ПОЛНОСТЬЮ понять, как Ваши системы были взломаны, необходимо провести годы, изучая их и бросить женщин.
Если это не wget, то есть эта изящная маленькая оболочка , которую вы используете LD_PRELOAD для вставки перед запуском любой команды .
Вы можете использовать это, например, для привязки браузера к интерфейсу VLAN (исходя из опыта).
Вы можете попытаться настроить PBR (маршрутизация на основе политики), если вам нужна более гибкая маршрутизация (вместо --bind-address)
IP1='xxx.xxx.xxx.62'
IF1='eth0'
GW1='xxx.xxx.xxx.61'
P1_NET='xxx.xxx.xxx.60/30'
IP2='yyy.yyy.yyy.10'
IF2='eth0:0'
GW2='yyy.yyy.yyy.9'
P2_NET='yyy.yyy.yyy.8/30'
IP3='zzz.zzz.zzz.239'
IF3='eth0:1'
GW3='zzz.zzz.zzz.254'
P3_NET='zzz.zzz.zzz.0/24'
/sbin/ip route add $P1_NET dev $IF1 src $IP1 table ISP1
/sbin/ip route add default via $GW1 table ISP1
/sbin/ip route add $P2_NET dev $IF2 src $IP2 table ISP2
/sbin/ip route add default via $GW2 table ISP2
/sbin/ip route add $P3_NET dev $IF3 src $IP3 table ISP3
/sbin/ip route add default via $GW3 table ISP3
/sbin/ip rule add from $IP1 table ISP1
/sbin/ip rule add from $IP2 table ISP2
/sbin/ip rule add from $IP3 table ISP3
/sbin/ip ru add fwmark 1 lookup ISP1 prio 100
/sbin/ip ru add fwmark 2 lookup ISP2 prio 200
/sbin/ip ru add fwmark 3 lookup ISP3 prio 300
/sbin/ip route add default via $GW1
/sbin/ip route flush cache
, а затем используйте что-то вроде следующего
iptables -t mangle -I OUTPUT -p tcp --dport 80 -j MARK --set-mark 1