点击上方蓝字,关注我们端口镜像介绍镜像是指将指定源的报文复制一份到目的端口。指定源被称为镜像源,目的端口被称为观察端口,复制的报文被称为镜像报文。镜像可以在不影响设备对原始报文正常处理的情况下,将其复...
冰蝎4.0流量魔改
0x00 前言 冰蝎v4.0开放了传输协议的自定义功能,使得流量魔改更为简单方便,本文以jsp脚本类型为例,提供一些冰蝎4流量魔改的方式 0x01传输协议分析 冰蝎4内置了如下几种传输协议,传输协议可...
【2023HW】HW溯源分析总结模板
1. 概述 在本次护网溯源分析中,我们对于涉嫌违规活动的网络流量进行了分析,并通过追踪溯源的方式确 认了该流量的来源以及行为。本报告将总结我们的分析过程与结果。 2. 起因 在何时、何地和什么情况下发...
【2023HW】|11-攻防演练中一些心得总结(蓝队视角)
1. 监测攻防演练开始前,要对监测设备的告警规则进行调优。僵尸、木马、蠕虫、C2远控类告警可以直接忽略挖矿病毒类告警视情况而定,如果时间充裕可以去处置重点关注web层面的攻击,如SQL注入,命令执行、...
HW之流量告警分析思路
一、流量告警分析中常见的问题 1.安全告警DDOS 实时安全威胁日志在单位时间内大批量触发,导致安全管理人员高强度工作,在分析某安全事件过程中新的告警事件出现导致处置不及时给网络带来安全隐患。 2.误...
zeek集群部署介绍
什么是为了更直白的说明什么是zeek,我们举几个国内产品的例子。有过HVV防守经历的人应该都见过一些流量检测设备,比如奇zeek集群架构为什么会使用zeek的集群模式?如果接入的流量小于1G,那么ze...
【红队】一款C2设施前置流量控制工具
工具介绍RedGuard,是一款C2设施前置流量控制技术的衍生作品,有着更加轻量的设计、高效的流量交互、以及使用go语言开发具有的可靠兼容性。它所解决的核心问题也是在面对日益复杂的红蓝攻防演练行动中,...
攻防演练场景中面临的常见加密威胁-SSH隧道工具sish
一、工具介绍 sish是一个开源的反向代理工具,通过在公共的端点和本地运行的服务器之间建立一个安全的ssh通道。该工具的功能是将内网端口暴露在公网上。该工具部署在公网中,本地无需安装,无需注册,支持转...
绝对干货,Nginx技术一网打尽!!(建议收藏)
来源:架构营全文共 16095个字,建议阅读 20 分钟引言一、性能怪兽-Nginx概念深入浅出二、Nginx环境搭建三、Nginx反向代理-负载均衡四、Nginx动静分...
攻防演练场景中面临的常见加密威胁——WebShell工具
一、概述 Webshell是一种用于获得服务器执行操作权限的恶意脚本,在攻防演练场景中被广泛使用。它常被称为网马,并根据实现方式的不同可以分为一句话木马(小马)、大马和内存马...
第七课 深入理解杀伤链和钻石模型(二)
追踪攻击者的意图 经过以上分析我们知道入侵已经达到远程控制阶段,攻击者在获取远程控制后会继续进行内网探测信息收集,或者窃取数据等实现入侵的目标。而我们也需要知道攻击者的后续活动。这通常分成两方面进行分...
【蓝队】专注于攻击特征分析的蓝队分析工具箱
工具介绍 BTAB (Blue Team Analyisis Box)是一个蓝队分析工具箱,专注于攻击特征分析。可以辅助安全运营人员在客户现场较苛刻环境下(无网、无python环境)的流量包分析、木马...