第218-219天：应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁

爆破事件与内网隧道

日志路径

/var/log/auth.log
/var/log/secure

针对linux 的ssh登录进行判断是否登录成功

cat /var/log/secure | grep "Accept"  查看成功登录
cat /var/log/secure | grep "Failed password for" 查看失败登录

针对windows
事件ID 4624(成功)/4625（失败）
登录类型：2/3/5/10
使用事件查看器进行查看

针对mssql服务器的爆破

在mssql服务器中的sqlserver日志中查看

分析日志，发现日志中有成功登录和非成功登录的日志

爆破事件定性：时间次数的比例
成功失败：windows判断事件ID,MSSQL和linux根据日志中的关键词比如 success/failed
日志查看：系统自带的日志，应用的日志
应急处置：拉黑IP 封锁协议 加上防护软件或者安全策略（多次爆破后就禁止登录等）

隧道技术

1.明确隧道常用的协议技术
2.明确windows，linux中分析技术
3.对于有需要自定义排查协议可学后续开发脚本实现

windows通过Microsoft Message Analyzer或者wireshark进行分析
linux通过https://blog.csdn.net/native_lee/article/details/124751325 进行分析