记一次攻防演练期间的服务器加固坎坷经历

听说了吧，行动在那年那月开始了(2020-8-17)，部分国企、部分央企、三大运营商首当其冲，紧张的不是红方，也不是蓝方，而是红方和蓝方背后的甲方乙方，你可能疑惑了：甲方不就是蓝方，乙方不就是红方吗？哎！（2声）你细品.......ZZZZ

和我又什么关系呢？我去，关系大了去了，就在行动的第一天，沦陷了那么多的企业，那么参加第二天的甲方看似面无表情，实则慌的一批，他们呢，怎么办？自己搞技术防御？纯粹想多了，除了蓝方防御，还能又谁能帮上忙？

但是别小看了这些大型国企，是大型，你放开了想象力想，由于特殊关系，咱家也不能随便透露，以免被社工，造成恶略影响，晚节不保，诚信受损，违法乱纪什么的：

害。没办法，不过敲黑板：这是一次技术排错分享。

话说这第二天参加的，怎么办呢？他们呢，向给自己提供服务的企业施压：怎么个玩法：如果这次行动中，我们的防御是从你们哪个企业突破的，以后咱呢，就此别过，互不往来。比如说，某信服，，，，算了，某通，在他们机房有一个服务器提供服务，在这次行动中，沦陷了，那以后就别合作了，想想看，这其间的资金链非同一般，某通的压力瞬间就大了。

某通领导：那谁，当时你是让那谁去那地儿干的那啥，让他这次去把那啥搞定了，搞不定卷铺盖走人！

明白没：那谁是就是wo。

wo:CNM

卷铺盖走人说的有点过！不过压力还是蛮大的，咱是一介草民，说白了就是个干活的。

去了他们机房，网络工程的同学们应该深有体会，又冷又吵，服务器、路由器、交换机、心跳。。。嘈嘈切切错杂弹呐！

我能怎么办呢？重点来了（收拾一下表情进入正题）：

1.我这次来主要是完成服务器的安全

之前的服务器版本低，直接打算将服务器换了，换成了更高级别的版本，然后将能打的补丁全部打上，最后加上防火墙入站出站规则。也没啥啊，就这点内容而已，轻车熟路，但是，这其中的水，不是一般的深。

上面所说没啥难度，实在是简简单单，对于咱干安全的来说，服务器的侧重点就是端口和开启的服务，查查端口，看看服务之类的。

但是问题没在这里，问题在服务器的更换迁移上，当我把原来旧的服务器从机架上端下来（有点重，一个人真不好弄），新服务器顶上去，一般的服务器都是多重网络，什么意思呢？就是有多个网卡，我已经记录了之前服务器两个网卡的IP地址什么的，换完之后将IP改了，理论上是通的，这台服务器一张网卡需要和我方进行通信，另外一张网卡和甲方爸爸通信。第一个问题就出在这里了，第一反应是他们有MAC锁定，询问后，他们说没有！后面弄了半天死活不通，辗转反侧啊，又是换网卡，又是重启，一度认为我把IP写错了，要不是拍照了，简直要深度怀疑自己，在查询网卡信息的时候发现：写甲方网卡的IP有网关，和我们通信的IP没网关，突然灵光一现：我们的网卡没网关，那肯定是过不去的啊，门都找不到，还怎么进去？对！需要网关，,怎么整呢？百度，，，说真的，我真不知道，，，查到百度后：

router add 路由 mask gateway -p

原来是缺少路由啊，打电话问网络的人，说了路由，直接指了我方网络大段，然后通了。

2.和我们的网通了，和他们的却出了问题：为了方便管理，他们需要3389到我方服务器进行平常的业务操作，但是3389死活连不上。确定本地端口是开着的，服务器也是启动的，他们可以ping通但是telnet不通。

这个时候我就犯嘀咕了，是不是咱家服务器没配置好，服务或者端口啥的没搞定？一度不自信。。

回去又查了下：

在服务里面也确定了RDP是开着的

但就是连不上，我这TM太难了吧，最简单的RDP都要玩弄我，我还是送外吧！

问题还是得排查：

先是telnet 127.0.0.1 3389

出现了光标闪烁的界面就是通着的。毫无意外，我这边是通着的.

然后我拿了一条网线，直接怼在了服务器上，要干什么？用我的电脑直连网线开远程桌面，先确保我的这边没问题（实际就是把自己的坑先排了，才有底气和他们狗RD互怼），作为专业的混子，我毫无意外的连接上了，这下有底气了，淦！

我将我的服务器情况做了说明，我这边是保证服务是开着的，我用网线直连都可以远程，为什么你们就不行呢？

他们先是把锅给了堡垒机，什么堡垒机有关口什么的，行，你操作，我看着，最后还是不通。

又说可能是防火墙的策略，哎对，你整呗，策略取了，依旧不行，我把我的防火墙都关了，该弄的不该弄的都弄了，依旧是不行。这下他们没辙了：我们也不知道哪里除了问题！给了这么一句话，没下文了。我能怎么办？活继续得干啊！

排查吧，怎么弄呢，我的思路是这样的：服务器是过了交换机再到堡垒机和防火墙，先把防火墙堡垒机这些有鸡掰策略的玩意儿越过，直接在交换机下，给我的笔记本配一个IP，让服务器处和我的电脑处在一个纯网络的环境。如果通了，可以远程，那就是防火墙或者堡垒机的锅，可以进行下一步，如果不通，那就是线路或者交换机的事，反正服务器我已经百分百确定了端口开启，服务开启了。

ip配置好，ping通了，3389过不去！我TM.....，掀桌子了！

啥问题呢？思来想去不知所云，打电话回公司：咱这服务器事什么时候买的？答：10年左右吧

wo：CNM！，我他么心态崩了啊。10年的服务器也敢用来搞这个！

又问：之前的服务器呢？答：05年买的！

好吧！我认了。换的这个起码比05年的强。其实，10年买的这个机子，算是比较可以的了。

重新调整，重新查看了IP，重新配置了网卡，确保了所有服务都是开启，端口也处于监听，防火墙也关了。

那么问题到底出在哪里呢？看着服务器的五个网卡，我陷入了沉思。

是不是网卡有问题？时间长了，网口插插拔拔的，不，这种硬件一般不会出问题，很快就否定了这个想法。

那要是万一呢？我又犯嘀咕了，试试吧！

于是我将网卡从4口换到2口，换了IP，让他们再试，还是不通。

算了，放弃了，服务先这么跑着吧，业务已经开启了，我实在事竭尽全力了。走到电梯那里，准备离开甲方爸爸，突然又想起，还有另外一台前置机没加策略，返回，刚到机房门口：那个网管跑也刚好出门：3389通了！（他是要追我们）

我的第一反应是：网卡的锅！至今那个网管都不知道为啥，自己想去！

不过没敢说出来，因为设备是我的，那为什么当时换了网卡没有通呢？我估计可能是IP改了，宣告报文没那么快发送出去，本地arp报文什么的没那么快运行起来，监听的端口+ip还没有切过来！

既然远程通了，那就完全可以让前置机的业务也部署在新机子上，就不用两个业务分开在两个机子上，对，就是业务迁移。

3.这个时候，第三个问题来了：新机子无法连接我方服务，端口通不了，又打电话问网络，服务和端口启着没，回复是正常的。

他们又是一番操作，没鸟用！可以ping通我方服务器，但是telnet不了端口，得解决这个问题，不过以他们的尿性就算了，解决是不可能解决的这辈子都不可能解决的！

只能自己尝试：我是这样想的：既然前置生产机目前是正常的，那么它的网络肯定是通常的，而且他们本端没有mac锁定，那么是否可以将生产机的IP换到新机子上？这样的作法有点危险：因为生产机上面有业务仍在运行，一般都在网上进行。但是我打电话询问后，得到我方支持，那就先把业务停一会吧！

很快完成了更换，把前置机的网线也拽了，在新机子上把前置机的业务需要的服务软件什么的全迁移过来，尝试连通。。

还是不行，我TM心态崩了啊。现在两个业务都停了，我擦，很可能随时出事，又打电话询问我方网络：我们的服务是正常的，端口也是开着的。我又重新看了服务器，端口确实是开着的，处于listening状态，没道理啊。是不是服务器的防火墙过滤了？要不写一条规则试试？然后将服务所需要的端口分别写在出站入站规则里面：果然，又是服务器。

后面的事情就简单了：

我将几个服务器开着的端口关闭，为了以防万一还加了防火墙策略，危险端口如135、445、139这些都加了规则，操作是简简单单。game 到此over！

现在想来也是狗血的一批，我本将心向明月，奈何明月照沟渠啊。

这里给大家教一句话：有时候，你看到的，不一定是真的，你做过的，不一定就是真的做了。

想弄明白一条主线的玩法，需得辅线加以旁证。

回顾一下我遇到的几个主要问题：两个是网络的问题，一个本地端口的问题。问题其实都不大，都是再简单不过的问题，但是经验告诉我，往往这些不起眼的小问题，卡你个几个小时是时有发生的，还要谨记：千里之堤，溃于蚁穴。经过反复的推敲，多次的尝试，基于理论的验证，一步步的将可能出现的情况都计算在内，方能运筹帷幄，了然于胸。

还有就是，加固完的当天，行动行动暂停了，我........TM想掀桌子了，算了，起码现在心里有底了。目前攻防演练依然没有消息，一直到今天才有时间将此番经历写出以供大家分享学习。

平时做工程或者干这类活，先找自己的问题，把自己的坑排了，确保自己这边是确实没问题，然后再横向寻找答案。

还有，靠别人是很难靠得住的，如果说非得靠别人，那只能靠上别人给你甩的锅。尽量自己排查错误，次数多了，其实过来过去就那么几点，就相当于：奇变偶不变，符号看象限。万变不离其中，就是姿势稍微换一下而已。而且，每次出现问题都是你成长的一个机会，可以学习到新的知识。

忘了说了，我也算的上是新人了，派我一个人出去，我TM太难了，翅膀都没长毛，就强行让我飞。

不过还好，，，唉，就这样了，大家加油，我也加油！