Protocols passing authentication in cleartext-通过明文认证的协议
搜索查找有泄露证书风险的明文协议。 当前,它由传统协议组成,例如telnet,POP3,IMAP和非匿名FTP会话。 尽管其中一些协议可以通过SSL使用,但在这些情况下,它们通常在不同的分配端口上运行。
telnet端口:23
pop3端口:110
IMAP端口:143
FTP:21
splunk查询:检查近一个小时数据tcp数据
| tstats `summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Network_Traffic where All_Traffic.protocol="tcp" AND (All_Traffic.dest_port="23" OR All_Traffic.dest_port="143" OR All_Traffic.dest_port="110" OR (All_Traffic.dest_port="21" AND All_Traffic.user != "anonymous")) groupby All_Traffic.user All_Traffic.src All_Traffic.dest All_Traffic.dest_port | `ctime(firstTime)` | `ctime(lastTime)` | `drop_dm_object_name("All_Traffic")`
earliest=-70m@m latest=-10m@m
telnet端口:23
pop3端口:110
IMAP端口:143
FTP:21
splunk查询:检查近一个小时数据tcp数据
| tstats `summariesonly` count min(_time) as firstTime max(_time) as lastTime from datamodel=Network_Traffic where All_Traffic.protocol="tcp" AND (All_Traffic.dest_port="23" OR All_Traffic.dest_port="143" OR All_Traffic.dest_port="110" OR (All_Traffic.dest_port="21" AND All_Traffic.user != "anonymous")) groupby All_Traffic.user All_Traffic.src All_Traffic.dest All_Traffic.dest_port | `ctime(firstTime)` | `ctime(lastTime)` | `drop_dm_object_name("All_Traffic")`
earliest=-70m@m latest=-10m@m
