蓝队研判技巧（一）-- 基础篇&WireShark篇

作者：fkalis发布时间：2024-10-07

fkalis早期在i春秋的投稿文章
原文链接：https://bbs.ichunqiu.com/thread-63452-1-1.html

看了很多关于护网的文章，大多文章都只有关于面试题的文章，并没有真正的蓝队实战的一些分析，关于对可以流量如何进行研判的分析，因为我也是第一次参加关于红蓝对抗的蓝队项目，我想将我在红蓝对抗中学习到的实战的东西交给大家，以下都是我的拙见，有什么不足请师傅们提出，我将尽力改正和学习。

1. 对客户的企业架构要有一定的理解

（1）为什么这里要将企业的架构放在研判的第一位

例如：为什么一台外网的天眼会接受到一个内网对另一个内网的攻击报警呢？

这时候我们可能就会有很多疑问？

这就是不知道架构的困难之处，如果不知道企业的架构，就相当于一个盲人一样，无法确定攻击的线路，无法解决各种疑问。那如果我们知道架构会是怎么样的呢？

在这里的企业架构，实际上这里的攻击来源ip是企业的一个负载均衡

当外界访问该企业的网站的时候，实际上是通过负载均衡然后到达内网的一台设备，从而实现web的访问的，由于天眼架设的位置在负载均衡之后，所以天眼获取到的流量是经过负载均衡后的流量，这时候就会导致访问的ip变为内网的负载均衡的ip，所以导致一个内网访问一个内网的效果，所以我们只有只有知道了这个企业的架构才能具体的情况进行具体的分析

可能文字比较难懂，我将这个流程整理成一个图片方便大家理解

（2）那么我们在企业的架构中最重点需要关注什么内容呢。

2. 熟悉设备的原理

任何设备都不是万能的，不要把设备想象的过于智能，他实际上会有很多误报，要想冷静的对这些误报进行分析研判就需要使用者对设备的原理进行了解，从而分析该误报产生的原因，进行更好的研判分析（这里以天眼为例）

例如：对天眼来说，他的部分规则会来自qax的威胁情报中心，当qax威胁情报中心标记的域名为恶意域名的时候，就会在天眼分析平台出现一个ioc，也就是规则，当用户的内网有对外解析该域名的请求时候，就会直接报警，无论DNS解析是否成功，他都会报警失陷。这就会导致一些误报

例如：这里报警报了远控木马失陷，看到是不是很慌

但是这里实际上就是我说的当用户的内网有对外解析该域名的请求时候，就会直接报警，无论DNS解析是否成功，他都会报警失陷，我们可以查看他的流量情况

会发现他只有一个域名的DNS请求解析，连DNS解析都没有成功，没有返回包，但是依然报了失陷，所以这就是设备的一些小误报

补充：

为什么会去请求解析这个恶意域名的，可能是因为内网的某些设备有一些垃圾软件,这些垃圾软件有对外的DNS解析，但是被拦截了，但是因为有请求解析，所以天眼还是报警了，但是并没有成功。

3.wireshark的一些使用技巧

由于在面对很多流量分析的时候，并不是单单通过设备就可以进行研判的，很多都是需要通过pcap包进行分析，所以对wires hark的使用必不可少，但是wireshark对于新手来说并不是很友好，因为他复杂的过滤规则，让入门的时候不知道从哪里下手，实际上我们不需要完全掌握wires hark的过滤语法，通过下面这些技巧，也可以很好使用wireshark进行分析。