防守者的角度来看攻击

0x01前言

之前一直没做过防守，也不是没做过，而是没有做过比较正式的防守，在客户的一次HW前的演习活动中，有幸被派去做了防守的工作，虽然感觉相对于攻击队来说是比较划水的，但是还是比较有收获的。能了解到在攻击者在攻击的时候，防守这边的视角。

0x02 看似风平浪静,实质暗潮涌动

         盯着一天的防护设备日志，不断刷新，偶尔会弹出几个国外的ip东打一枪，西打一枪，会听到旁边的人说这攻击队真菜，一直到白天防守工作结束，防守方收拾好电脑，攻击队的獠牙已经漏了出来，确实，这个我是深有体会的，我就喜欢晚上打游击战，虽然夜晚攻击是属于违规的，但是只要不被溯源到是一般不会有什么问题的，那为什么不喜欢在攻击现场攻击呢？主要是因为提供的电脑太卡，不好用，网络不稳定，白天防守方监督IP容易被封，高频率的切换IP来进行攻击影响效率。

         白天的攻击日志很少，睡个觉，第二天打开防护日志，直接就好家伙，99+，99+，99+！

各种扫描器乱飞，虽然这种攻击方式有点不讲武德，搞偷袭，但是大多数攻击队还都是喜欢这样搞的。这种方式能规避开防守方的监管，相对来说比较好渗透。

0x03进可攻,退可守,不要让场面失控

         说到这里，不得不说随着国家网络安全建设的推进，现在的网络安全设备真的是越来越流批了，自动巡检，自动隔离，自动拦截……，所以说现在内网外网都不好混了。

最好是找一些低级别的资产，然后再从低级别资产到高级别资产的横移，在攻击队拿到跳板机后，一定要做好权限维持，这里就不细讲了，维权的方式很多，在拿到一台跳板机后，尽可能的小动静的去做横向移动，这里一定要小，因为好不容易打进来的口子，因为动作太大被踢出去了得不偿失，都知道内网比外网好打的多，最好找到多台跳板机的时候就可以用一台没什么利用价值的机器对内网进行一些信息手机了，高危端口扫描，漏洞扫描，弱口令爆破，当然，这个还是看运气，可能没扫出来就已经被防守给发现了。

0x04 撒大网还是定点投放

         这里要讲的是钓鱼邮件，不得不说，在一些安全设施做的比较好的大企业，想从Web打进内网不是一件简单的事，企业往往会把全部精力都投放在网络安全建设上，而忽略了人的安全培训，这里钓鱼邮件就发挥了出众的优势。

         是撒大网轰炸式的发送钓鱼邮件还是定点投放呢？各有各的优势吧，近年来也见识过不少做的很好的钓鱼邮件，在我认为，想要见效快就得用轰炸式，撒大网，总能捞上那么几个，但是这样很容易被防守发现，基本是活不了多久，这里就要打快仗了，因为防守方的处理也是有流程的，攻击队这时候看到上线机器就要马上行动，一分都不能耽误。还有除了马子的伪装及免杀处理，还有就是钓鱼话术的编写，一定要用企业的撰写格式，话术尽量用广泛通知类的，例如XXX节假日通知，值班表，XXX薪资调整政策通知，还有二次钓鱼的，就是有一方攻击队提前实施了钓鱼，然后第二个攻击队就用“针对攻防演练钓鱼邮件防范通知”来当作标题用来钓鱼，这里如果能配合上电话社工是最好不过了。

     0x05知己知彼才能百战不殆

         设备再厉害也是被规则约束了，误报的情况会非常多，还是需要防守方去人工研判的，人的精力也是有限的，一般来说只要不是单个IP攻击量太大是很难被发现的，所以说这时候做个混子是很不错的，说不定就混在日志里面被忽略了。

         网络安全的本质是对抗，对抗的本质是攻防两端能力较量，通过攻防对抗，考验防守方的安全防护能力以及对安全事件的监测发现能力和应急处置能力。通过对抗、复盘和研讨，总结经验教训，对提升网络安全保障整体能力和水平具有突出价值。

         马上国家HW就要开始了，攻击队员跟防守队员又要走上战场开始较量了，希望能通过这些演练活动中，加强人们对网络安全的了解，了解网络攻击，以及防范措施，促进国家网络安全建设！