护网5年0失陷，全靠封IP

• 蓝队守网真叫忙，鼠标狂点封四方

• C段封完封B段，管他红队在哪藏

• 半夜高危千百条，我自稳坐封神榜

• 工牌电脑不离身，封到天昏地也荒

• 红队早把内网穿，我封IP正癫狂

• 溯源报告不会写，只会拉黑保平安

这个打油诗怎么样？

每年护网我们最熟悉的就是封IP了，这也算是最常规的操作了，毕竟这种操作最有效，也因此出现了各种各样的苕皮哥。

说归说，闹归闹，护网大家能参加还是要参加的，毕竟这也算网安行业每年的盛宴。

我们在护网专栏中已经编写了近50篇，10w字，详细的编写了护网方案，护网执行清单，护网中产品使用清单以及护网的面试题库和面试经验。--文末有福袋哦。

护网中常见的流量分析面试题看看你会不？

1. 某HTTP流量中，攻击者试图通过分块传输编码（Chunked Encoding）隐藏恶意载荷，如何检测？

答案：

• 分块长度异常：检查单个分块是否过大（如超过合理业务范围）。
• 解码后内容分析：实时解码分块数据，匹配Webshell、SQL注入等特征。
• 时间分布异常：分块传输间隔异常（如故意延迟发送以绕过正则检测）。
• 关联Header字段：结合Content-Type与载荷类型矛盾（如image/png但内容为文本）。

2. 某内网横向渗透中，攻击者使用SMB协议传递恶意文件，如何通过流量设备检测？

答案：

• SMB命令分析：检测NT Transact命令中的异常文件操作（如写入.dll到系统目录）。
• 文件哈希匹配：提取传输文件的哈希值，与威胁情报库对比。
• 协议版本异常：利用过时SMBv1协议（可能为永恒之蓝漏洞利用）。
• 身份验证日志关联：结合登录失败日志，识别暴力破解行为。

3. 某企业部署了IPS和防火墙，如何配置策略以拦截SQL注入攻击？说明设备差异。

答案：

• 防火墙：基于应用层策略（如Web应用防火墙规则）拦截含UNION SELECT、' OR 1=1等特征的HTTP请求。
• IPS：启用预置SQL注入特征库（如Suricata规则alert tcp any any -> any 80 (content:"'"; http_uri; ...)），并设置动态响应（如重置连接）。
• 差异：防火墙侧重状态过滤（L3-L4）和应用层策略，IPS侧重实时攻击特征匹配（L7）和主动阻断。

4. 如何通过流量日志发现内网主机感染挖矿木马？

答案：

• 目的IP/域名：连接已知矿池域名（如xmrpool.eu）或IP。
• 协议特征：持续高频率的TCP长连接，端口3333/5555（常见矿池端口）。
• 流量模式：固定时间间隔的JSON-RPC请求（如{"id":0,"method":"login"}）。
• 资源消耗关联：主机CPU利用率异常升高，与流量峰值时间匹配。

5. 某Web服务器日志显示大量404错误，如何判断是扫描器还是正常用户行为？

答案：

• 请求频率：扫描器短时间内触发大量404（如每秒数十次），正常用户低频。
• URI随机性：扫描器使用字典路径（如/admin.php、/wp-login），正常用户可能输错已知路径。
• User-Agent：扫描器UA为工具标识（如sqlmap/1.6#stable）或缺失。
• 关联响应码：扫描器可能伴随401（未授权）、403（禁止访问）等错误。

6. 如何利用SIEM平台关联多设备日志检测钓鱼攻击？

答案：

• 邮件网关日志：检测含恶意附件（如.js、.scr）或伪装发件人。
• Web代理日志：关联用户点击短链接后访问钓鱼页面的记录。
• 终端日志：检测邮件客户端进程（如Outlook）触发可疑子进程（如powershell.exe）。
• 时间线分析：从邮件投递到用户执行恶意载荷的时间窗口（通常<5分钟）。

7. 某网络流量中出现大量ICMP Type 3 Code 3（端口不可达）报文，可能是什么攻击？如何应对？

答案：

• 攻击类型：可能是扫描探测（如UDP端口扫描后触发ICMP响应）或反向路径过滤（RPF）失败导致的反射攻击。
• 应对措施：
  • 防火墙规则：限制ICMP Type 3出站，或仅允许特定管理网段。
  • 流量分析：统计源IP的ICMP频率，封禁高频异常IP。
  • 设备配置：启用交换机端口安全策略，防止IP欺骗。