护网蓝队知识体系整理

第一阶段:资产梳理与安全加固(战前准备)

1. 资产梳理

明确防守目标:

  • IP地址
  • 域名
  • 业务系统
  • 服务器
  • 数据库
  • 中间件
  • 网络设备

需要搞清楚:

有哪些资产
开放了哪些端口
运行什么服务
谁负责维护
业务是否重要

常见服务:

服务端口
HTTP80
HTTPS443
SSH22
MySQL3306
Redis6379
RDP3389

2. 安全基线检查

检查内容:

账号安全

  • 弱口令排查
  • 默认账号排查
  • 多余账号清理

例如:

admin/admin
root/123456
test/test

系统安全

Linux:

  • SSH配置
  • sudo权限
  • 文件权限

Windows:

  • Administrator管理
  • 远程桌面权限
  • 账户策略

补丁修复

修复:

  • 操作系统漏洞
  • 中间件漏洞
  • Web漏洞

例如:

  • Apache
  • Nginx
  • Tomcat
  • IIS

漏洞扫描

发现:

  • 弱口令
  • 高危漏洞
  • 未授权访问
  • 配置错误

目标:

减少红队可利用入口

第二阶段:7×24小时监测与防守

护网期间最核心工作。

1. 安全设备监控

重点关注:

防火墙

查看:

  • 异常连接
  • 攻击来源IP
  • 封禁情况

WAF(Web应用防火墙)

关注:

  • SQL注入
  • XSS
  • 文件上传
  • 命令执行

告警内容:

攻击IP
访问URL
攻击类型
攻击时间

态势感知平台

用于:

  • 汇总告警
  • 展示攻击趋势
  • 关联分析

IDS / IPS

检测:

  • 扫描行为
  • 漏洞利用
  • 横向移动

例如:

  • 端口扫描
  • 爆破攻击
  • WebShell通信

2. 日志分析

重点分析:

Nginx日志

查看:

访问IP
访问路径
状态码
User-Agent

例如:

GET /admin
GET /phpmyadmin

可能是目录扫描。


Windows日志

关注:

  • 登录失败
  • 提权行为
  • 新建用户

Linux日志

关注:

/var/log/auth.log
/var/log/secure

查看:

  • SSH爆破
  • 提权
  • 异常登录

ELK平台

日志集中管理:

  • Elasticsearch(存储)
  • Logstash(采集处理)
  • Kibana(查询分析)

主要工作:

日志检索
攻击溯源
告警分析

3. 流量分析

需要能看懂:

TCP

掌握:

  • 三次握手
  • 四次挥手

TCP标志位:

SYN
ACK
FIN
RST
PSH

HTTP

能够看懂:

请求:

GET /login HTTP/1.1

响应:

HTTP/1.1 200 OK

关注:

  • URL
  • Cookie
  • User-Agent
  • Referer

HTTPS

理解:

  • TLS握手
  • 证书验证
  • 加密通信

DNS

掌握:

  • 域名解析流程
  • UDP 53
  • TCP 53

异常情况:

DNS隧道
恶意域名解析

第三阶段:应急响应与溯源

1. 安全事件处置

常见事件:

  • WebShell
  • 木马
  • 勒索软件
  • 异常登录
  • 数据泄露

应急响应流程

发现

确认

隔离

清除

恢复

复盘

2. WebShell排查

检查:

Linux

find / -name "*.php"

查看:

ps -ef
ss -lntp

Windows

查看:

tasklist
netstat -ano

3. 溯源分析

分析内容:

攻击来源

  • IP地址
  • ASN
  • 国家地区

攻击手法

例如:

SQL注入
文件上传
弱口令
WebShell

攻击链

还原:

扫描

漏洞利用

上传后门

持久化

横向移动

必备基础知识

网络基础

熟悉 TCP/IP 协议栈:

应用层
传输层
网络层
网络接口层

重点:

  • TCP
  • UDP
  • HTTP
  • HTTPS
  • DNS

Linux

掌握:

ls
cd
pwd
cat
grep
find
tail
chmod
chown
ps
top
ss

理解:

  • 文件系统
  • 用户权限
  • 进程管理

Windows

掌握:

  • 事件查看器
  • PowerShell
  • 服务管理
  • 用户管理

Web安全

理解原理和防御:

  • SQL注入
  • XSS
  • CSRF
  • 文件上传
  • 反序列化
  • SSRF
  • 命令执行
  • 目录遍历

对于初级护网蓝队,核心能力可以概括为:

会看网络(TCP/HTTP/DNS)→ 会看系统(Linux/Windows)→ 会看日志(Nginx/ELK)→ 懂常见Web漏洞(SQL注入、XSS、CSRF等)→ 能做基础应急响应和溯源分析。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇