fkalis早期在i春秋的投稿文章
原文链接:https://bbs.ichunqiu.com/thread-63452-1-1.html
看了很多关于护网的文章,大多文章都只有关于面试题的文章,并没有真正的蓝队实战的一些分析,关于对可以流量如何进行研判的分析,因为我也是第一次参加关于红蓝对抗的蓝队项目,我想将我在红蓝对抗中学习到的实战的东西交给大家,以下都是我的拙见,有什么不足请师傅们提出,我将尽力改正和学习。
例如:为什么一台外网的天眼会接受到一个内网对另一个内网的攻击报警呢?
这时候我们可能就会有很多疑问?
这就是不知道架构的困难之处,如果不知道企业的架构,就相当于一个盲人一样,无法确定攻击的线路,无法解决各种疑问。那如果我们知道架构会是怎么样的呢?
在这里的企业架构,实际上这里的攻击来源ip是企业的一个负载均衡
当外界访问该企业的网站的时候,实际上是通过负载均衡然后到达内网的一台设备,从而实现web的访问的,由于天眼架设的位置在负载均衡之后,所以天眼获取到的流量是经过负载均衡后的流量,这时候就会导致访问的ip变为内网的负载均衡的ip,所以导致一个内网访问一个内网的效果,所以我们只有只有知道了这个企业的架构才能具体的情况进行具体的分析
任何设备都不是万能的,不要把设备想象的过于智能,他实际上会有很多误报,要想冷静的对这些误报进行分析研判就需要使用者对设备的原理进行了解,从而分析该误报产生的原因,进行更好的研判分析(这里以天眼为例)
为什么会去请求解析这个恶意域名的,可能是因为内网的某些设备有一些垃圾软件,这些垃圾软件有对外的DNS解析,但是被拦截了,但是因为有请求解析,所以天眼还是报警了,但是并没有成功。
由于在面对很多流量分析的时候,并不是单单通过设备就可以进行研判的,很多都是需要通过pcap包进行分析,所以对wires hark的使用必不可少,但是wireshark对于新手来说并不是很友好,因为他复杂的过滤规则,让入门的时候不知道从哪里下手,实际上我们不需要完全掌握wires hark的过滤语法,通过下面这些技巧,也可以很好使用wireshark进行分析。
当我们用wireshark对tcp等协议进行分析的时候,他会将一次请求的tcp拆分为多个包,这就会导致我们分析的时候有点困难,需要一个个看,这时候我们就可以使用tcp流,让这些整合成一个请求,格式和burpsuite类似,这有助于我们的分析
众所周知,wireshark难就难在他的过滤语法,由于他的流量很多,所以就需要过滤语法,如果不是一个经常使用wireshark的人来说,这么多的语法绝对是灾难,但实际上并不需要记住语法,wires hark提供了一些功能进行直接过滤。
这个技巧只是偶尔会使用到,因为大部分设备都会自带文件流的提取了,但是偶尔还是会遇到的,有的CTF题目中也会遇到
11. 成功打开,没有损坏
这就是蓝队研判的基础知识,下章我会对如何研判进行具体的分析,具体到某个案例,如何一步步确定他是否成功,是否是攻击等等.....
本文使用 文章同步助手 同步