兵临城下丨红蓝日记⑥：网络攻防演练防守笔记_蓝队护网日记

目前，我国网络安全形势仍然严峻，信息泄露等安全事件时有发生，网络空间对抗态势不断加剧，网络攻击者的手段也是层出不穷。

为应对越来越严峻的挑战，进行网络攻防演习就是必不可少的方法与策略，通过攻击和防守方的对抗，在演习中查找防护的不足之处，学习攻防技术，提高网络安全防范能力。

前期检查与加固

“打铁还需自身硬”，在网络安全攻防演习前期准备中，由于很难了解到攻击方的很多重要信息，所以重点在于梳理自身网络资产，排查资产存在的风险，以自身充足的准备去防范掉风险，如果防范不掉，也可以为后期处理做好准备。对于加固来说，小蓝也总结了以下可以着重关注的几方面：

1、安全防护软件： 查看是否安装安全防护软件，可利用软件查看电脑上是否安装了重大补丁，可利用此类软件对主机打补丁，比较方便。
2、禁止windows自动运行： windows自动运行功能被许多病毒利用，会因为使用U盘而将病毒激活。
3、安全策略设置： 密码策略设置，账号锁定策略设置，审核策略设置，不允许SAM账号匿名枚举，远程帐户不活动断连时间设置等等。
4、安全漏洞修补： 禁用默认共享，禁止建立空链接，禁止远程修改注册表，禁用guest帐户等等。
当然，以上方面只是排查过程中的一部分内容，需要排查和加固的东西很多，所以在网络攻防演练过程中，可以使用一些工具或者可以编写批处理文件来自动检测或者设置，提高排查效率，节省时间。
对于Linux的排查也有很多项，同样可以编写脚本来运行，准确且快速。对于Linux系统来说， 小蓝提醒大家需要特别关注以下几项：

检查是否设置除root之外UID为0的用户；

检查是否存在空口令账号；

检查是否对登录进行日志记录；

检查是否设置命令行界面超时退出；

检查是否使用PAM认证模块禁止wheel组之外的用户su为root；

检查系统openssh安全配置等等。

设备监控

强大的武器是在战争中获胜的重要因素。在网络安全攻防演练中，借助强大的安全设备可以帮助小蓝检测和防御到各种各样的攻击，可以使防守人员快速反应，处理安全事件，及时止损和溯源。

网络资产安全治理平台（RayGate）不仅可以帮助客户梳理资产，同时还有一个强大的功能，就是检测webshell上传，通过治理平台，在前期排查过程中小蓝也是发现了有攻击者上传webshell。（网站被植入WebShell将使黑客能够直接控制目标主机，造成数据泄漏，页面被非法篡改的风险。）

可以通过查看详情来查看攻击者的攻击情况。

后经小蓝的验证，发现系统已经关停，具体影响需要站点负责人确认。
可持续威胁检测与溯源系统（RayEYE）可以实时分析网络流量，监控可疑威胁行为，通过多病毒检测引擎有效识别出病毒、木马等已知威胁。可以帮助小蓝第一时间发现攻击，做出应对，如下图展示了一次对struts2的尝试攻击。

在网络攻防演习中，还会用到防火墙、WAF等很多的安全设备，小蓝们需要结合各种设备不同的功能和特性，结合实际网络环境，准确分配部署的位置，优化策略，使安全设备发挥到最大价值，出色完成检测和防守。

分析溯源

在网络安全攻防演练中，最重要的目的固然是防守成功，但是如果可以溯源到攻击者，那自然是锦上添花，当然，柿子还要挑软的捏，小蓝在大量的攻击日志中选取暴露信息多的去进行挖掘，可以通过网上寻找或者自己编写脚本对攻击IP进行批量筛选查询。下面是其中的一种。

这是一个通过IP查询绑定域名，绑定时间及其归属地的脚本。

这是一个通过域名查询注册名字，注册邮箱，公司等信息的脚本。

这天，小蓝发现有一个攻击者ip开启了redis服务，他想到了redis未授权访问，立马拿出渗透神器kali发送语句探测一下，果然存在未授权。

执行命令./redis-cli -h ip 尝试连接。

写入公钥

设置redis的备份路径为/root/.ssh和保存文件名authorized_keys，使用命令如下：

config set dir /root/.ssh

config set dbfilenameauthorized_keys

私钥登录

查看历史命令，发现有人执行wget命令下载了文件。

利用沙箱查询此文件检测到为恶意文件。

去威胁情报平台上查询一下此ip，发现这是一个恶意主机。

攻击方的手段层出不穷，但并非防无可防，防守方守备戒律森严，亦不是无懈可击。千里之堤，溃于蚁穴。在网络攻防演练过程中，防守方万万需要全面心细有针对，对每一个可能有风险的存在都需要了如指掌，然后实施针对性策略。

点击查看原文

后实施针对性策略。

点击查看原文

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览，小伙伴们记得点个收藏！

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lAkaGSyu-1691284698409)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一：基础入门

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Bx7A3wP6-1691284698410)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二：技术进阶（到了这一步你才算入门）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qm8tzm1V-1691284698412)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-otN5SDvf-1691284698413)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四：蓝队课程

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-gEIMWz8i-1691284698414)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御，即更容易被大家理解的网络安全工程师。

攻防兼备，年薪收入可以达到40w+

阶段五：面试指南&阶段六：升级内容

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/笔触狂放9/article/detail/467769