2022护网日记，护网工作内容、护网事件、告警流量分析_护网研判分析

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

今年HW总共15天，7月25号开始，到8月8号结束。
总的来说，人坐在电脑前的时候，风平浪静，时不时蹦出几个告警。
可一到换班或去厕所的时候，就会突然冒出几百条告警。

我一度怀疑我们的摄像头是不是已经被入侵了，一看到我人离开就开始攻击。

如果你问我，今年HW最大的收获是什么，我一定会说：我收获了一个强大的膀胱！！！

一、监控设备

首先是设备，（本人）这次HW使用的安全产品主要有两个：天眼和椒图。

产品	全称
天眼	奇安信天眼威胁检测与分析系统
椒图	奇安信网神云锁服务器安全管理系统

天眼负责流量分析，部署在旁路，对交换机镜像过来的流量进行监测、分析和溯源。

椒图负责服务器的系统防护，通过在服务器上安装的客户端，将收集到的主机信息发送到控制中心集中分析。

二、工作内容

防守方主要分为三个组：安全监控组、事件研判组、应急处置组。
1）监控组分析安全设备的告警，确定是攻击就提交给处置组封禁IP；分析不出来就提交给研判组分析。
2）研判组负责分析监控组提交的告警是否为攻击，必要时可以访问受害网站复现攻击，或者联系受害网站的负责人验证是不是正常业务/人为操作。
3）处置组主要负责封禁IP，如果是webshell这种攻击，还需要联系受害网站的负责人，协助修复漏洞或者加固网站。

三个组通过指挥调度管理系统进行协作防护：
大家上班第一件事就是登录管理系统，监控组向管理系统提交告警的攻击/受害IP、告警类型以及payload，处置组/研判组看到管理系统上有新的告警了就封禁IP/分析告警事件。

原则上来说，我一个安全监控组，只需要盯着安全设备，简单分析一下然后提交告警就可以了。
由于公司就来了我一个，只要是我们产品相关的事，都会把我喊过去。
因此，除了设备监控外，我的工作还包括但不限于：分析webshell文件、分析病毒木马文件、升级/加固安全产品、对失陷主机进行后门扫描和病毒查杀、以及协助失陷网站修整加固。。。

三、安全事件

好了，撇开厕所不谈，下面分享几个印象比较深的攻击事件吧：

1）失陷主机排查

青藤云的蜜罐检查到，有个用户电脑访问了蜜罐的80端口，用户断网以后用360和火绒查杀了三个毒以后，重新上线，结果又踩了蜜罐，用户又用360和火绒扫了一遍，啥也没扫出来，就喊我过去处理。

当时我就一脸懵逼：这是我一个安全监控该干的事吗？
但架不住一群人直勾勾的盯着我，只能硬着头皮去干

先是用椒图扫了一遍webshell和后门文件。
确认没有后门以后，用专杀工具全盘扫描，扫出来7个病毒。
扔到ti威胁情报中心鉴定，确定就是高危病毒。
然后提交到二线做病毒分析，确认是远控木马类病毒，与触发蜜罐的告警有相关性。
最后删掉病毒，重新上线，没有再出现异常现象。

2）后门网站修复

椒图检测到一个服务器上存在webshell，通知用户紧急下线网站，开始排查和加固。

一群人围在哪里分析了半天，然后理所应当的把这事扔给了我：“你们家的设备，当然要你去处理呀~”

老规矩，先用椒图扫一下webshell和后门，在Temp目录下扫出来一个webshell。
跟用户的开发核实后，确认不是业务文件，是被人上传了文件。
于是删掉webshell，取消了Temp目录的所有用户权限，在椒图上吧这台服务器的防护全部开启（默认只检测不拦截）。
开发也临时关闭了上传的功能，然后准备重新上线。

结果上线后，网站访问不了。。。

在重新部署了n遍项目，外加换了两台备用服务器后，时间已经来到了凌晨六点，距离规定的上线时间还差三个小时。
“实在不行，咱们就写个静态主页跳404吧，点啥功能都给跳到404，最起码，他们一时半会儿不会怀疑是我们的问题，咱们也能多点时间排查问题。”
开发的嘴角慢慢上扬，空洞的眼神里重新亮起了光。

不幸的是，这话被项目经理偷听到了，在经理的谴责声中，我看到，开发的眼神，竟慢慢的黯淡下来，直到剩下两个黑黑的眼眶。

兴许是一晚上没去厕所的原因，在换到第三台备用服务器的时候，网站终于恢复了。

事后，我问开发：“你们的运维咋没过来呢？”

“我就是运维。”

“那，开发呢？”

“开发也是我。”

“？？？，那，你们项目组。。。”

“只有我自己~”

四、告警流量分析

平均下来，一天得有三千多条告警，但其中大部分都是误报，接下来分享一些简单的告警流量特征。

1）信息泄露

看访问路径中是否存在特殊文件或路径。
比如，访问备份文件.zip

访问默认文件

或者特殊类型的文件

客户授权的话，可以访问该路径，查看返回结果中是否包含敏感信息，以判断是否攻击成功。

2）SQL注入

看请求参数、请求头或请求体中是否包含SQL语句或关键字。

比如，GET请求中包含SQL语句（联合查询注入）：

请求头中包含SQL语句：

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-Xgv6UfC4-1713288761988)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！