近幾年，隨著大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算的飛速發(fā)展，網(wǎng)絡(luò)攻擊觸手已經(jīng)從企業(yè)逐漸伸向國家，國家關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)也面臨著無形威脅。

“為了防止羊被偷，我們得在羊被偷之前就開始識(shí)別風(fēng)險(xiǎn)、加固羊圈建設(shè)”，護(hù)網(wǎng)行動(dòng)在這樣的背景下逐步誕生。

某金融機(jī)構(gòu)在今年攻防演練中，攻方派出“暗訪人員”以設(shè)備網(wǎng)絡(luò)維修升級(jí)為由，企圖進(jìn)入防守方網(wǎng)點(diǎn)設(shè)備間實(shí)施破壞，像極了電影的橋段。

知了堂學(xué)員張同學(xué)在9月參與了一場(chǎng)護(hù)網(wǎng)行動(dòng)，在攻防演練中收獲滿滿。

云南護(hù)網(wǎng)行動(dòng)

所在乙方：深信服

服務(wù)甲方：云南某公司

第一天剛到昆明就去了客戶公司進(jìn)行一些工作上的安排，作為藍(lán)方，深信服的大哥給我們介紹了深信服防火墻（AF）的操作過程：如何查看系統(tǒng)日志、操作日志、安全日志；如何將異常IP添加進(jìn)黑名單，如何編寫策略進(jìn)行訪問控制等。

防火墻的部署是在三個(gè)地方：公司內(nèi)網(wǎng)與外部互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)流通的地方，公司內(nèi)部數(shù)據(jù)中心，公司與國家局通信的鏈路。這三個(gè)地方的防火墻需要重點(diǎn)關(guān)注，關(guān)注的內(nèi)容就是查看安全日志里面的報(bào)警高危的數(shù)據(jù)包有沒有明顯的攻擊語句、sql注入、代碼執(zhí)行、雙寫繞過等等，如果有就需要將此IP添加進(jìn)黑名單。

在現(xiàn)場(chǎng)緊盯防火墻之外，微信企業(yè)群里每隔一個(gè)小時(shí)下屬單位會(huì)將他們封鎖的ip和國家局封鎖的IP以及深信服的威脅情報(bào)IP進(jìn)行通報(bào)，這時(shí)也需要將這些危險(xiǎn)IP進(jìn)行封禁。

當(dāng)然防護(hù)設(shè)備不僅僅是防火墻，我的工作除了緊盯防火墻之外，還需要看著安全感知平臺(tái)（sip），sip是全部流量的集合點(diǎn)，上面有重要資產(chǎn)的名單，還會(huì)對(duì)內(nèi)網(wǎng)的數(shù)據(jù)進(jìn)行監(jiān)控，如果有異常的內(nèi)網(wǎng)攻擊行為，sip可能會(huì)對(duì)某個(gè)終端或者服務(wù)器進(jìn)行淪陷和高危的通報(bào)。

具體工作內(nèi)容

接著就開始給我們分配任務(wù)，我們需要24小時(shí)值守，我和另一個(gè)哥們就作為深信服的值守人員，工作時(shí)間12小時(shí)每天，白班早上九點(diǎn)到晚上九點(diǎn)，夜班晚上九點(diǎn)到早上九點(diǎn)。夜班和白班的工作內(nèi)容大致相同，但是夜班稍微輕松一點(diǎn)，今年的規(guī)則是除了早上9點(diǎn)到晚上9點(diǎn)之外的時(shí)間不允許進(jìn)攻，所以晚上雖說也是上12個(gè)小時(shí)的班，但是實(shí)際上可以休息4-5個(gè)小時(shí)。（不過后面一周的兄弟有點(diǎn)慘，后面一周因?yàn)楣絷?duì)的成果不理想，所以將攻擊時(shí)間調(diào)整為24小時(shí)，這樣他就得夜班也要盯著設(shè)備，不能被攻破了）。

我們的任務(wù)是兩個(gè)防火墻（出口墻和數(shù)據(jù)中心的墻）、安全感知平臺(tái)和蜜罐的查看。防火墻和安全感知平臺(tái)前面說過了，這里就重點(diǎn)說一下蜜罐。蜜罐的原理就是防守方在訪問的服務(wù)器外設(shè)置一個(gè)陷阱，攻擊隊(duì)在對(duì)服務(wù)器的端口進(jìn)行漏洞掃描的時(shí)候就會(huì)先觸發(fā)蜜罐，也就是掉入陷阱；如果攻擊隊(duì)沒對(duì)自己發(fā)起進(jìn)攻的計(jì)算機(jī)進(jìn)行信息的偽裝的話就會(huì)被防守方抓住把柄，獲得攻擊方的一些信息，從而發(fā)起反攻。

不過我們不是負(fù)責(zé)部署蜜罐（這個(gè)技術(shù)難度還是有點(diǎn)高，因?yàn)槊酃捱€和內(nèi)網(wǎng)有一定的關(guān)聯(lián)，如果部署的不好的話，就有可能攻擊方攻破蜜罐之后就能直接進(jìn)行內(nèi)網(wǎng)的攻擊）。我們的任務(wù)就是盯著蜜罐，查看是否有高危的進(jìn)攻IP，其次就是查看進(jìn)攻的IP是否有設(shè)備的指紋信息，如果有，就可以找機(jī)會(huì)發(fā)起反攻。

在觀察蜜罐的時(shí)候，還真發(fā)現(xiàn)了有攻擊隊(duì)的設(shè)備指紋，并且那個(gè)攻擊隊(duì)極其不嚴(yán)謹(jǐn)，讓我們得到了很多的個(gè)人賬號(hào)信息，這樣就順藤摸瓜得到了攻擊隊(duì)的設(shè)備信息，成功溯源，拿下一波分。

最后的有驚無險(xiǎn)

就這樣平靜了很多很多天之后，當(dāng)我們以為攻擊隊(duì)都放棄進(jìn)攻我們的時(shí)候（我們防守確實(shí)滴水不漏），最后一天還是出了狀況。

最后一天也就是9.24號(hào)下午兩點(diǎn)半，我像往常一樣查看sip，發(fā)現(xiàn)一個(gè)提示高危服務(wù)器，仔細(xì)一看，發(fā)現(xiàn)他在對(duì)旁邊內(nèi)網(wǎng)的另一臺(tái)服務(wù)器發(fā)起端口掃描，進(jìn)行目錄爆破，這是明顯的攻擊行為，馬上上報(bào)，立馬就確認(rèn)了這就是一臺(tái)服務(wù)器被攻破，他們正在對(duì)內(nèi)網(wǎng)進(jìn)行攻擊，根本來不及查明攻擊隊(duì)何時(shí)采用何方法攻入，我們馬上斷開外網(wǎng)，使得攻擊方的數(shù)據(jù)無法出去，并且和國家局那邊斷開鏈接，這樣使得攻擊隊(duì)無法通過我們下屬單位直接對(duì)總部發(fā)起進(jìn)攻。

最后處理完了再慢慢發(fā)現(xiàn)攻擊隊(duì)的蛛絲馬跡，讓人驚訝的是，攻擊隊(duì)的數(shù)據(jù)包并沒有觸發(fā)任何的防火墻防御機(jī)制（防御機(jī)制分為低危中為高危，一般認(rèn)為中危和高危才算觸發(fā)防御機(jī)制），但是這個(gè)攻擊隊(duì)的入侵，連防火墻的低危都沒有觸發(fā)（如果低危未觸發(fā)，無法在安全日志里查看該數(shù)據(jù)包，只會(huì)在行為日志里看到連接紀(jì)錄），所以我們都沒在防火墻發(fā)現(xiàn)進(jìn)攻的紀(jì)錄！

那我們最后是如何真正找到攻擊隊(duì)的進(jìn)攻方式的呢？是在后面去查看他們進(jìn)攻的服務(wù)器（這個(gè)服務(wù)器是一個(gè)網(wǎng)頁的頁面），這個(gè)頁面本身存在一個(gè)漏洞，也就是存在著繞過的方法，可以直接進(jìn)入服務(wù)器執(zhí)行遠(yuǎn)程命令。不過萬幸的是，攻擊隊(duì)僅僅是登陸了這個(gè)網(wǎng)站的管理員權(quán)限，并沒有得到實(shí)際的任何賬號(hào)，因?yàn)槟莻€(gè)網(wǎng)站雖然有后臺(tái)，但是沒有任何的用戶數(shù)據(jù)在上面，因此攻擊隊(duì)沒有得到任何信息。

工作的事情就說到這里，接下來講講吃喝玩樂。每次來昆明必吃過橋米線，永遠(yuǎn)沒法忘記的味道，太好吃了，然后云南人有很好吃的餌塊，烤餌塊也是超級(jí)無敵好吃。除此之外呢，云南的云腿月餅，鮮花餅也是特產(chǎn)，統(tǒng)統(tǒng)吃過之后，還是云腿月餅和烤餌塊以及過橋米線深得我心。

這次的護(hù)網(wǎng)行動(dòng)就告一段落了，繼續(xù)加油！

2020年，新冠疫情席卷全球，很多傳統(tǒng)行業(yè)在此期間完成由線下到線上轉(zhuǎn)型。網(wǎng)絡(luò)及數(shù)字化賦能企業(yè)，未來企業(yè)在線上市場(chǎng)開拓及平臺(tái)發(fā)展形勢(shì)將越來越好，同時(shí)面對(duì)錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境，企業(yè)亟需豐富自身應(yīng)對(duì)網(wǎng)絡(luò)攻擊的經(jīng)驗(yàn)與技能。

企業(yè)對(duì)網(wǎng)安人才的需求也日益增長(zhǎng)，知了堂攜手安全領(lǐng)域巨頭聯(lián)手打造強(qiáng)勢(shì)網(wǎng)絡(luò)安全課程，結(jié)合實(shí)戰(zhàn)靶場(chǎng)，有效的提高攻防技術(shù)。除了專業(yè)課程的安排，知了堂還安排了CTF專項(xiàng)練習(xí)，學(xué)員可以在實(shí)驗(yàn)平臺(tái)上進(jìn)行日常的自我學(xué)習(xí)和訓(xùn)練，進(jìn)行攻防技術(shù)實(shí)操訓(xùn)練。