作者 | 漏洞404
编辑 | L
[漏洞404] 学习文章
网络安全需要你我共同努力
如需转载,请联系平台
网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等,广义的信息安全设备除了包括上述设备外,还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等
可以通过防火墙设置,使Internet或外部网用户无法访问内部网络,或者对这种访问配备更多的限定条件。在网络系统与外部网络接口处应设置防火墙设备;服务器必须放在防火墙后面。
具体防范病毒应采用网关防病毒、邮件防病毒、服务器防毒、网络主机防病毒等多种防毒措施的组合,从而形成一个交叉、完善的病毒防护体系。网关防病毒是通过在防火墙后布置服务器,安装防病毒软件,对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤。如果有邮件服务器,则应该根据邮件服务器的软件配置安装相应的防病毒软件。服务器防病毒一般根据其操作平台(如NT、UNIX、LINUX、NetWare等)进行定制安装,并进行安全配置;服务器应用范围不同也需要不同配置策略,如WEB SITE、DNS、NOTES服务器、数据库中间层处理服务器和其他商业应用服务器等。网络中的每台主机也应该安装防病毒软件。
通过基础知识了解,如果掌握百分之百那么就是一个高级蓝队防御,彻底理解那么差不多成为专家的水平,如果是百分之七十的基础,那么也是高级水平,百分之五十左右达到中级水平完全没问题,四十以下二十以上定级为初级蓝队水平
其实再很多人面试蓝队的时候都会问什么冰蝎流量、哥斯拉流量、蚁剑流量等特征之类的【这种东西个人感觉能说的上基础特征即可】其实再网络安全设备【防火墙、安全态势感知、ids、ips】都会帮助我们自动识别研判流量与告警,所以能看设备,能玩懂设备也是一个重要的因数之一
从这里可以看到出现了一条攻击告警,那么首先需要研判分析该攻击【源IP】是否为公网地址还是内网地址,【A类:10.0.0.0-10.255.255.255 mask 255.0.0.0
B类:172.16.0.0-172.31.255.255 mask 255.255.0.0
C类:192.168.0.0-192.168.255.255 mask 255.255.255.0】,其他的也需要看客户需要怎么分配内网地址,也遇到过使用 132 开头的内网地址,那么在Hvv前,就需要知道客户的具体内网网段地址,方便后期在看安全设备的时候研判分析是内网地址还是外网地址,如果是内网地址出现了大量的攻击那么就要迅速查看,找客户找到系统责任人是否为测试还是攻击【攻击如:冰蝎流量、哥斯拉流量、暴露破解、cve攻击、注入、命令执行等】,如果不是内部人员操作,那么久需要马上准备应急措施,态势感知日志分析、web日志分析、主机日志分析、攻击来源、是钓鱼、还是通过web漏洞、还是0day,那么通过该事件分析,就可以得出之前基础篇知识的重要性
从上面的信息可以确定的分析出来了 这里返回包是200是成功的,并且通过包发现是存在弱口令,那么该源IP 为内网IP不存在多次报错,那么认定为内网管理人员弱口令设置,是需要整改,如果存在多次爆破才成功就需要分析为内网渗透攻击等
如该图显示了 那么多的攻击命令,根据返回的信息,只是一个http信息
那么这种就是存在以下可能:
一:攻击已被安全设备进行拦截
二:攻击队乱打,拿着攻击POC全世界扫描乱打,如果打中则获得权限,没有就算了,
三:漏洞已经修复,但是还是尝试攻击,
防御措施:
马上对攻击IP进行封堵
后续操作:
一:查看是否有该设备,如果有是否存在漏洞,如果有设备并且存在漏洞应该马上下线进行漏洞修改,
二:不该在该设备,那么封堵IP即可
可以从以上看出,存在了Linux 系统命令等操作..,但是从返回包中看到了 401 或者404 等信息其实是一个攻击失败的信息,也就是说服务器不存在该漏洞,或者已被WAF拦截,这种的话可以说说攻击【乱打类型】
恒某兴金睛态势感知分析
其实各类防御设备也好,态势感知也好都会有不相同之处,最重要的就是要会看告警分析,还有返回内容等信息,其实也就是要有攻防相关的安全经验【其中涉及方面有以上基础篇的内】,才好做研判分析,一个好的蓝队或者一个会安全的人,不能单单仅靠安全设备,也要会内网攻击的研判与告警与代码之类的很多基础知识
对于我没有标红的流量之类的,都是客户认定为业务的安全流量,所以在查看该流量信息的时候,就要找到客户或者带你入场的人询问拿一些为正常的业务ip流量了
流量包查看
可以看到该数据包为403,那么就是已经被拦截,或者是目录扫描等之类的信息了,也可以通过多次攻击的方向,自己去查看是否真实存在漏洞【没有被打下来,可能是因为有waf等原因】
发生攻击或者流量后,就需要对攻击IP进行研判,其实所谓的研判首先就要判断攻击行为了,如攻击流量特征,是否出现攻击语句或者代码,这种几乎都不需要怎么分析,直接判定为恶意的攻击行为直接进行封堵即可,如果遇到内网攻击,那么就要研判是内部进行系统测试还是真实已经打入内网中,研判其中还是处置结果溯源或者什么之类的
研判过程中可以对IP分析是否为攻击或者恶意ip
那么就需要以下在线的平台进行查看如
微步:https://x.threatbook.com/奇安信威胁情报中心:https://ti.qianxin.com/
还有很多这样的平台不一一举例,还有对文件进行分析,沙箱处理,那么这个就需要一些应急响应的技术了
其中在最近的网络安全中单单靠以上技术还不足以成为一个优秀良好的蓝军防御工程师,随着网络安全的重要性那么就是需要一些溯源反制的手段进行一个搏杀,简单来说能够进行反制溯源,
反制
反制其实就是当出现攻击的时候,要溯源到攻击者的真实ip、姓名、在哪里、是否为攻击队人员、是那个攻击队等,如果能溯源到那么客户方就会又加分项,关于如何反制其实,当攻击IP对你进行攻击的时候,可能攻击IP 也会开放一些端口【80、3389、ssh】之类的信息,然后再看ip是否为国内的,查看为阿里云或者腾讯云等购买多种方式进行溯源攻击者,后再查看是否又泄露的邮箱、手机号码、qq...等信息,通过信息溯源到人,这就是反制机制,或者通过手段反制到攻击者方向
溯源
溯源其实也分很多种,其中溯源最多的说法就是当我们被攻击下来之后,要对攻击方式,利用方式进行一个溯源,如:sql注入 注出账号密码登录后台获取敏感数据... ,文件包含获取权限等,甚至命令执行、框架漏洞,后再对内网渗透进行一个溯源分析,如内网主机是使用漏洞提权还是配置不当提权,还是弱口令,内网流量通信,ssh隧道、dns隧道等信息,必须要对攻击链路做出完整的的还原,这样也能挽回不少的分
最后以上内网只有一些我个人的看法与多次的经验,也是比较多的一种情况,没有写涉及到技术方面,因为技术方面涉及太多太大,无法一一阐述,后期我也会写出一些
原文始发于微信公众号(漏洞404):Hvv攻防演练蓝队个人经验篇二
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论