0x0001 厂家设备的了解
需要先了解去的厂家使用的是什么设备 比如【微步】的【TDP】 【青藤】【HIDS】,对其监控的方向进行了解,【TDP】主要掌控的是主要的流量数据,对网页进行的具体数据访问检测,类似于sql,路径爆破等等,【HIDS】主要是对主机内部的监控,类似于本地提权或者webshell上传到本地了内部协议,还要agint(类似于webshell,可以进行远程的管理)的安装一方面
一般厂家会在进厂前进行系统的培训,所以也不用太慌张
ox0002 进厂后
2.1先使用系统检测一下是否有一些比较敏感的漏洞,类似与弱密码,联系相关人员进行修改,还有一些框架的漏洞,类似于log4j等,系统都可以检测出来,然后即使对相应的主机打上补丁
2.2取得相应的权限,类似于堡垒机,蜜罐等等,看你的位置获得相应的账号权限,监控组只需要负责流量的监控,出现报警等通知即可
3.对于一些基本知识的认识
ox0003 负载和反向代理服务器
做均衡负载和反向代理的服务器,会有很多的攻击流量经过它,显的好像是它主动去攻击的内网
反向代理可以做安全的防护,无法探测服务器真实的ip,也可以当waf使用
反向代理服务器可以作为应用层防火墙,为网站提供对基于Web的攻击行为(例如DoS/DDoS)的防护,更容易排查恶意软件等。还可以为后端服务器统一提供加密和SSL加速(如SSL终端代理),提供HTTP访问认证等。
即,二房东可以有效的保护房东的安全
会有大公司的内部ip作为负载或者是反向代理服务器,所以遇到它们对自己内部网站发起进攻的时候,不要觉得是主机沦陷了,只是正常的代理转发而已
ox0004 CDN,IDE服务器,xff
CDN相当于是网站的界面缓存,可以直接分发网站的页面,可以起到提速的作用,大多数的扫描器可能扫描获得的IP就是cdn的ip,所以也具有一定的保护作用
IDE服务器 主要用于数据的转发,相当于是数据的中转站,可以上微步的ip情报进行查询,看是否是正常的ip
Xff 相当于是源头ip 被转发的ip,或者是真实发动请求的攻击
还有很多没多没有列举,第一次护网或者重保的可以看我接下来的文章