攻防演练蓝队反制思路

情况分析

最近正值HW期间，红队在忙着攻击，蓝队在忙着防守。随着时间的推移，攻击量逐渐减少。不是红队疲惫了，是该进的内网基本都进了。

 作为蓝队的一员，做为防守方，甘心只做一个只会封IP的猴子吗？

 我知道，大多数人不服输的蓝队内心有个声音：“绝不甘心”。那么，除了封封IP，还能做些什么？

 先来捋一下红队的整个工作流程：

 --> 红队基础设施建设（买云服务器，武器工具搭建，）

 --> 信息搜集（被动搜集，主动扫描）

 --> 漏洞利用和控制（大漏洞、反弹shell、上C2）

 --> 权限控制 （维持权限、定期保持心跳）

 --> 内网刷分（内网扫描、靶机突破）

 --> 报告编写

知道了这些之后，作为防守方，我们只关注红队和我们防守的客户产生直接交互的步骤。信息搜集、漏洞利用和控制、权限维持等等。

关注什么

作为防守方，做到防守的工位上，最容易和红队接触的地方，就是红队的IP了。这些IP大致可以分为三类：小区IP、专线、云IP

小区IP是多个住户使用，无法定位到个人，对个人也没什么影响。除非是通过运营商一层层查下去。

专线是企业在用，很大概率不是真的红队

云IP，基本可以确定是红队的IP。    

信息搜集阶段

红队可能会把扫描工具搭建到云服务器上，然后进行扫描。这个阶段可能会获取到红队云服务器IP

漏洞利用和控制阶段

有些漏洞可以直接利用，但是有些漏洞需要借助第三方服务才能进行利用，比如java的：RMI、JNDI等等。这种情况下也是需要一个独立IP来搭建服务，也可以获取红队的云服务IP。

红队的C2需要搭建在云服务器上，同样可以获取云服务器IP

权限维持阶段

权限维持是需要把目标的资产的权限维持在一个红队可控的地方。如果只是服务器没web的情况下，同样需要云服务器。

还有就是红队用的代理比如FRP，

反制

最简单的反制方法是封IP。再深入一些，根据IP进行红队溯源，对红队进行钓鱼。在红队很小心的情况下，几乎找不到人，运气成分很大。

 今天我就来分享一个别样的反制方法。100%可以实施，并且会让红队肉疼，不对，心疼。

 我们知道，云服务器是要花钱购买，并且带宽、流量等等都有限制，也都需要花钱。我们就可以利用这一点。在找到准确的红队云服务器IP后，看下上边开了什么服务，蓝队可以大批量对线程对其发起访问和连接。还要注意不能给打挂了。作为蓝队的目的就是消耗红队云服务器的流量。

 很多时候流量都是先使用，后付费。大量请求之后，大量消耗流量，当红队意识到的时候，已经下一个扣费周期了...    

可以想想，红队在下个月扣费周期，收到这张扣费单的时候，是什么心情😭

工具推荐

好人做到底，如果用客户的网络发起连接，势必会引来红队更猛烈的攻击，这时候就需要用到免费资源了。

百度是个好东西

消耗加速CND流量    

消耗服务器流量    

其他的自由发挥...

觉得有用可以点赞转发

原文始发于微信公众号（闲聊知识铺）：攻防演练蓝队反制思路