2023年最新整理网络安全护网蓝队面试题​_护网面试题

 如何打击黑灰产工具

1. 全面监控和快速响应（溯源）：对黑灰进行长期跟进，了解黑灰产工具的传播链条和路径，第一时间捕获活跃的黑灰产工具（建立特征词监控，数据取样、交叉分析）

2. 建立软件指纹库，增加风险识别能力

3. 建立黑灰产情报共享，最大化情报价值

如何反爬

1. 后台对访问进行统计，如果单个 IP 访问超过阈值，予以封锁

2. 后台对访问进行统计，如果单个 session 访问超过阈值，予以封锁

3. 后台对访问进行统计，如果单个 userAgent 访问超过阈值，予以封锁

4. 以上的组合

Linux下查找服务端口的命令

Linux下查找服务端口的命令？一句话查找80端口服务的命令？

使用grep 命令 要使用 grep 命令在Linux 中查找指定服务的默认端口号，只需运行

grep <port> /etc/services
grep services /etc/services

如何发现钓鱼邮件

钓鱼邮件发现

发现途径如下：

邮件系统异常登录告警、员工上报、异常行为告警、邮件蜜饵告警

推荐接入微步或奇安信的情报数据。对邮件内容出现的 URL 做扫描，可以发现大量的异常链接

钓鱼邮件处置

1. 屏蔽办公区域对钓鱼邮件内容涉及站点、URL 访问

   根据办公环境实际情况可以在上网行为管理、路由器、交换机上进行屏蔽

   邮件内容涉及域名、IP 均都应该进行屏蔽

   对访问钓鱼网站的内网 IP 进行记录，以便后续排查溯源可能的后果

2. 屏蔽钓鱼邮件

   屏蔽钓鱼邮件来源邮箱域名

   屏蔽钓鱼邮件来源 IP

   有条件的可以根据邮件内容进行屏蔽

   删除还在邮件服务器未被客户端收取钓鱼邮件

3. 处理接收到钓鱼邮件的用户

   • 根据钓鱼邮件发件人进行日志回溯

     此处除了需要排查有多少人接收到钓鱼邮件之外，还需要排查是否公司通讯录泄露。采用 TOP500 姓氏撞库发送钓鱼邮件的攻击方式相对后续防护较为简单。如果发现是使用公司通讯录顺序则需要根据通讯录的离职情况及新加入员工排查通讯录泄露时间。毕竟有针对性的社工库攻击威力要比 TOP100、TOP500 大很多

   • 通知已接收钓鱼邮件的用户进行处理

   • 删除钓鱼邮件

   • 系统改密

   • 全盘扫毒

4. 后续：溯源、员工培训提升安全意识