AnushkaSom740/Incident-Response-Analysis

🚨 事件响应分析 – DoS 攻击 📌 概述 本项目展示了我调查和响应模拟拒绝服务（DoS）攻击的能力。分析涵盖了检测、遏制、根除和恢复步骤，遵循行业标准的事件响应方法论。 🎯 目标 检测异常流量模式和服务中断。 应用 NIST 事件响应生命周期（准备 → 识别 → 遏制 → 根除 → 恢复 → 经验教训）。 记录发现并提出缓解策略。 展示网络安全工具在日志和流量分析中的实际应用。 🛠️ 工具与技术 Wireshark – 数据包捕获与流量检查。 TCPdump – 命令行流量分析。 Splunk / Chronicle – 日志关联与事件监控。 系统监控 – CPU、内存和带宽使用情况跟踪。 参考框架 – NIST IR 生命周期、MITRE ATT&CK。 🔍 方法论 检测 捕获了模拟 DoS 攻击期间的网络流量。 识别出流量体积的异常激增以及来自可疑 IP 的重复请求。 分析 关联日志以确认服务中断。 验证了攻击向量（例如，SYN flood、HTTP 请求 flood）。 遏制 使用防火墙规则封锁了恶意 IP。 对传入流量进行了速率限制。 根除与恢复 清除了恶意会话。 恢复了正常的服务可用性。 经验教训 主动监控和告警的重要性。 需要在 SIEM 中建立自动化检测规则。 📑 关键发现 攻击源自多个 IP，模拟了 flood 攻击。 在实施遏制措施之前，服务停机时间持续了约 X 分钟。 建议实施负载均衡和入侵防御系统（IPS）以增强弹性。 📈 结果 / 影响 成功检测并缓解了模拟的 DoS 攻击。 记录了事件响应工作流程，以供未来参考。 加深了对网络防御策略的理解。 ▶️ 查看/运行方式 打开 incident-report-analysis.docx 查看详细分析。 Splunk 查询和 Wireshark 捕获文件位于 /analysis 文件夹中。 🔮 未来改进 利用 SIEM 关联规则实现检测自动化。 集成 IDS/IPS 以进行实时拦截。 探索基于云的 DDoS 防护服务。

标签：NIST CSF, Wireshark, 句柄查看, 安全事件响应, 拒绝服务攻击, 配置错误