HW 蓝队面试题整理（入侵检测&防御）

1.WAF产品如何来拦截攻击？

• Waf 产品有三种

• 云 Waf

用户不需要在自己的网络中安装软件程序或部署硬件设备，就可以对网站实施安全防护，它的主要实现方式是利用 DNS 技术，通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测，如存在异常请求则进行拦截否则将请求转发至真实服务器

• Web 防护软件

安装在需要防护的服务器上，实现方式通常是 Waf 监听端口或以 Web 容器扩展方式进行请求检测和阻断

• 硬件 Web 防火墙

Waf 串行部署在 Web 服务器前端，用于检测、阻断异常流量。常规硬件 Waf 的实现方式是通过代理技术代理来自外部的流量

原理都相同，通过部署在 Web 服务器前方串行接入来将 Web 流量牵引到 WAF 设备中进行清洗或者拦截，最终只把正常用户的请求转发给服务器

当前市场上 Waf 产品核心的防护机制是“规则”，每一个请求、会话，经过抓包，“开包检查”，每一项规则都会检查到，一旦检查不通过，就会被认为是非法访问，拒绝处理

2.WAF有哪些防护方式？

• Web基础防护

可防范常规的 web 应用攻击，如 SQL 注入攻击、XSS 跨站攻击等，可检测 webshell，检查 HTTP 上传通道中的网页木马，打开开关即实时生效

• CC 攻击防护

可根据 IP、Cookie 或者 Referer 字段名设置灵活的限速策略，有效缓解 CC 攻击

• 精准访问防护

对常见 HTTP 字段进行条件组合， 支持定制化防护策略如CSRF防护，通过自定义规则的配置，更精准的识别恶意伪造请求、保护网站敏感信息、提高防护精准性

• IP 黑白名单

添加终拦截与始终放行的黑白名单 IP，增加防御准确性

• 地理位置访问控制

添加地理位置访问控制规则，针对来源 IP 进行自定义访问控制

• 网页防篡改

对网站的静态网页进行缓存配置，当用户访问时返回给用户缓存的正常页面，并随机检测网页是否被篡改

• 网站反爬虫

动态分析网站业务模型，结合人机识别技术和数据风控手段，精准识别爬虫行为

• 误报屏蔽

针对特定请求忽略某些攻击检测规则，用于处理误报事件

• 隐私屏蔽

隐私信息屏蔽，避免用户的密码等信息出现在事件日志中

• 防敏感信息泄露

防止在页面中泄露用户的敏感信息，例如：用户的身份证号码、手机号码、电子邮箱等

3.不安全的第三方组件的漏洞如何做前置规避？

第三方组件缺陷又被归结为供应链安全问题，供应链安全需要多方面考虑。没有万能方案，但是组织可以用分层防御的组合来保护供应链

• 安全战略评估

要评估风险与合规性，需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键

• 事件响应计划与编排

提前为入侵、关闭或中断做好准备，并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施，防止损失

https://www.freebuf.com/articles/neopoints/261681.html

4.如果现在要你写一个检测命令注入的脚本？

你会怎么写，有哪些要注意的地方，如果别人的脚本检测出来了你的脚本没检测出来你觉的你的脚本会存在什么问题，脚本检测过程中如果没有回显你会怎么做

二、溯源

1.基本步骤

• 攻击源捕获

• 安全设备报警，如扫描IP、威胁阻断、病毒木马、入侵事件等

• 日志与流量分析，异常的通讯流量、攻击源与攻击目标等

• 服务器资源异常，异常的文件、账号、进程、端口，启动项、计划任务和服务等

• 邮件钓鱼，获取恶意文件样本、钓鱼网站 URL 等

• 蜜罐系统，获取攻击者 ID、电脑信息、浏览器指纹、行为、意图的相关信息

• 溯源反制手段

• IP 定位技术

根据IP定位物理地址–代理 IP

溯源案例：通过 IP 端口扫描，反向渗透服务器进行分析，最终定位到攻击者相关信息

• ID 追踪术

ID 追踪术，搜索引擎、社交平台、技术论坛、社工库匹配

溯源案例：利用 ID 从技术论坛追溯邮箱，继续通过邮箱反追踪真实姓名，通过姓名找到相关简历信息

• 网站 url

域名 Whois 查询–注册人姓名、地址、电话和邮箱 --域名隐私保护

溯源案例：通过攻击 IP 历史解析记录/域名，对域名注册信息进行溯源分析

• 恶意样本分析

提取样本特征、用户名、ID、邮箱、C2 服务器等信息–同源分析

溯源案例：样本分析过程中，发现攻击者的个人 ID 和 QQ，成功定位到攻击者

• 社交账号

基于 JSONP 跨域，获取攻击者的主机信息、浏览器信息、真实 IP 及社交信息等

利用条件：可以找到相关社交网站的 jsonp 接口泄露敏感信息，相关网站登录未注销

• 攻击者画像

• 攻击路径

攻击目的：拿到权限、窃取数据、获取利益、DDOS 等

网络代理：代理 IP、跳板机、C2 服务器等

攻击手法：鱼叉式邮件钓鱼、Web渗透、水坑攻击、近源渗透、社会工程等

• 攻击者身份画像

虚拟身份：ID、昵称、网名

真实身份：姓名、物理位置

联系方式：手机号、qq/微信、邮箱

组织情况：单位名称、职位信息

• 技巧

域名、ip 反查目标个人信息

支付宝转账，确定目标姓氏

淘宝找回密码，确定目标名字

企业微信手机号查公司名称

REG007 查注册应用、网站

程序 PDB 信息泄露

2.主动防御​​​​​​​

https://www.freebuf.com/articles/web/245585.html浏览器指纹技术网络欺骗技术，蜜罐蜜网

3.流量溯源

• 可利用流量工具 wireshark 进行溯源：

• 查看 eval、 z0、 shell whoami 等关键字，查看出现次数过多的时候， 需要查看是哪个页面发起的请求，有可能是 webshell

• 通过 WireShark 工具快速搜索关键字，定位到异常流量包

• 找出异常 IP 和所上传的内容，查看是否为 webshell

• 如何定位到攻击IP：

• 首先通过选择 - 统计 - 对话查看流量的走向情况， 定位可疑的 IP 地址

• 根据定位到的 IP 地址，尝试对上传的 webshell 进行定位

ip.addr == ip && http matches"uploadllevallselectlxp_cmdshell" && http.request.method == "POST"

• 查找到 webshell 后尝试溯源漏洞位置

http.request.uri contains "webshell.php"定位到最开始 webshell 执行或上传的时候

• 根据最开始的 HTTP 上传包或者其他漏洞特征定位漏洞类型

4.wireshark

• wireshark 简单的过滤规则

• 过滤ip：

过滤源 ip 地址：ip.src1.1.1.1目的 ip 地址：ip.dst1.1.1.1

• 过滤端口：

过滤80端口：tcp.port == 80源端口：tcp.srcport == 80目的端：tcp.dstport == 80

• 协议过滤：直接输入协议名即可，如 http 协议 http

• http 模式过滤：过滤 get/post 包 httprequest.mothod == “GET/POST”

5.常用取证工具

Wireshark、xplico、 Volatility、 FastlR Collector、Autopsy、 Dumplt、 FTK Imager、Foremost、Scalpel、 Bulk_ exetractor 等​​​​​​​

优秀文章https://www.anquanke.com/post/id/260888