第一阶段:资产梳理与安全加固(战前准备)
1. 资产梳理
明确防守目标:
- IP地址
- 域名
- 业务系统
- 服务器
- 数据库
- 中间件
- 网络设备
需要搞清楚:
有哪些资产
开放了哪些端口
运行什么服务
谁负责维护
业务是否重要
常见服务:
| 服务 | 端口 |
|---|---|
| HTTP | 80 |
| HTTPS | 443 |
| SSH | 22 |
| MySQL | 3306 |
| Redis | 6379 |
| RDP | 3389 |
2. 安全基线检查
检查内容:
账号安全
- 弱口令排查
- 默认账号排查
- 多余账号清理
例如:
admin/admin
root/123456
test/test
系统安全
Linux:
- SSH配置
- sudo权限
- 文件权限
Windows:
- Administrator管理
- 远程桌面权限
- 账户策略
补丁修复
修复:
- 操作系统漏洞
- 中间件漏洞
- Web漏洞
例如:
- Apache
- Nginx
- Tomcat
- IIS
漏洞扫描
发现:
- 弱口令
- 高危漏洞
- 未授权访问
- 配置错误
目标:
减少红队可利用入口
第二阶段:7×24小时监测与防守
护网期间最核心工作。
1. 安全设备监控
重点关注:
防火墙
查看:
- 异常连接
- 攻击来源IP
- 封禁情况
WAF(Web应用防火墙)
关注:
- SQL注入
- XSS
- 文件上传
- 命令执行
告警内容:
攻击IP
访问URL
攻击类型
攻击时间
态势感知平台
用于:
- 汇总告警
- 展示攻击趋势
- 关联分析
IDS / IPS
检测:
- 扫描行为
- 漏洞利用
- 横向移动
例如:
- 端口扫描
- 爆破攻击
- WebShell通信
2. 日志分析
重点分析:
Nginx日志
查看:
访问IP
访问路径
状态码
User-Agent
例如:
GET /admin
GET /phpmyadmin
可能是目录扫描。
Windows日志
关注:
- 登录失败
- 提权行为
- 新建用户
Linux日志
关注:
/var/log/auth.log
/var/log/secure
查看:
- SSH爆破
- 提权
- 异常登录
ELK平台
日志集中管理:
- Elasticsearch(存储)
- Logstash(采集处理)
- Kibana(查询分析)
主要工作:
日志检索
攻击溯源
告警分析
3. 流量分析
需要能看懂:
TCP
掌握:
- 三次握手
- 四次挥手
TCP标志位:
SYN
ACK
FIN
RST
PSH
HTTP
能够看懂:
请求:
GET /login HTTP/1.1
响应:
HTTP/1.1 200 OK
关注:
- URL
- Cookie
- User-Agent
- Referer
HTTPS
理解:
- TLS握手
- 证书验证
- 加密通信
DNS
掌握:
- 域名解析流程
- UDP 53
- TCP 53
异常情况:
DNS隧道
恶意域名解析
第三阶段:应急响应与溯源
1. 安全事件处置
常见事件:
- WebShell
- 木马
- 勒索软件
- 异常登录
- 数据泄露
应急响应流程
发现
↓
确认
↓
隔离
↓
清除
↓
恢复
↓
复盘
2. WebShell排查
检查:
Linux
find / -name "*.php"
查看:
ps -ef
ss -lntp
Windows
查看:
tasklist
netstat -ano
3. 溯源分析
分析内容:
攻击来源
- IP地址
- ASN
- 国家地区
攻击手法
例如:
SQL注入
文件上传
弱口令
WebShell
攻击链
还原:
扫描
↓
漏洞利用
↓
上传后门
↓
持久化
↓
横向移动
必备基础知识
网络基础
熟悉 TCP/IP 协议栈:
应用层
传输层
网络层
网络接口层
重点:
- TCP
- UDP
- HTTP
- HTTPS
- DNS
Linux
掌握:
ls
cd
pwd
cat
grep
find
tail
chmod
chown
ps
top
ss
理解:
- 文件系统
- 用户权限
- 进程管理
Windows
掌握:
- 事件查看器
- PowerShell
- 服务管理
- 用户管理
Web安全
理解原理和防御:
- SQL注入
- XSS
- CSRF
- 文件上传
- 反序列化
- SSRF
- 命令执行
- 目录遍历
对于初级护网蓝队,核心能力可以概括为:
会看网络(TCP/HTTP/DNS)→ 会看系统(Linux/Windows)→ 会看日志(Nginx/ELK)→ 懂常见Web漏洞(SQL注入、XSS、CSRF等)→ 能做基础应急响应和溯源分析。