技术干货 | 论攻防对抗之击溃敌方心理防线

作者：calmness

• 某安全公司技术经理兼项目经理

• 弥天安全实验室核心成员、炎黄安全实验室创始人

• 研究方向：渗透测试、安全运营建设、溯源反制

攻击过程一般都是由小到大、由浅入深的形式展开，基本上都是先是探测站点信息，逐次进行打点升级。那这个时候呢，防守方的设备上一定会显示相关检测的日志信息。逐条分析滤出敌方的攻击思维，还可以根据所爆出的漏洞利用的名称，大致判断对方常用的攻击手法。根据对方攻击的频率感知平台、情报平台等等。当敌方攻击防守方时候肯定不会使用真实的IP地址，所以当防守方的设备上留下的IP不尽然是真实IP，需要不停地去明辨真实IP不断分析进行精准狠的定位打击，防守方可以根据敌方IP进行反制溯源。根据日志信息精准判断不断地进行攻击敌方的攻击IP直到敌方不在攻击为止，为什么这样说呢，因为敌方不在攻击的时候可能已经更换了IP防守再次攻击也没有任何意义了，除非能找到与之相关的一些信息来增添敌方画像的可能。《论持久战》中的十六字方针战略：“敌进我退,敌驻我扰敌僻我打,敌退我追”具有借鉴意义。使用不断干扰敌方战略战术的手段，让敌方不能够从容镇定地完成攻击路径和攻击链条，那么防守方的目的就达到了，一定程度上延缓了敌方进攻的思路和思维方式，打破了敌方既定的战略部署，使得敌方不得不重新调整方案。此时敌方的心理已经被彻底打破了，会不停地攻击来自防守方攻击的地址，这样很容易形成胶着之势。比如：撒一些“花苗”即诱饵，待山花烂漫之时，绽放出最美的“笑魇”，有心栽花花不开，无心插柳柳成荫。。。诱饵的设置无疑就是天上掉下来的大肥肉或者大毒药，敌方需要“火眼金睛”来区别对待它的到来，否则等来的是一颗毙命的毒药；在反制愈演愈烈的今天，由被动到主动的角色转换，由保守到开放的姿态。蜜罐的发展弥补了这一优势不足的弱点，增添了这一亮点属于锦上添花。发挥蜜罐反制优势的特点在于或者说利用一些反制的木马、JS、XSS、PDF、Word等等，远控敌方出其不意攻其不备；还可以给敌方种马没事的时候瞎逛逛啥的，还可以扔给敌方一个炸弹或者锁机马、锁文件等等，“思想有多远就能走多远”；蜜罐像地雷，让敌人处处惊心动魄；蜜罐像陷阱，让敌方步步为营。抗日战争中的地雷战，看似一马平川其实前进道路充满惊悚；还有猎人捕捉猎物时候会设置各种各样的陷阱便于获取美味的野餐。所以不管地雷战、还是陷阱的设置还是蜜罐的部署，归根到底了解趋势了解对手然后必经之路设下计策，一击毙命。