weixin_44214275的博客

1、挖矿、蠕虫、病毒、拒绝服务这类不太可能为攻击方发起的攻击的事件，直接过滤掉，减少告警数量2、一般情况下，真实攻击不可能只持续一次，它一定是长时间、周期性、多IP的进行攻击用流量监测的安全设备，比如天眼，查看报文，分析报文里和 host 和网站目录路径，查看是否可疑，使用微步查询 host 是否为恶意，使用 wireshark 对数据包深度分析看一下请求的网站路径，源 IP 与目的 ip 地址，host 字段的值以及发包内容等。工具有 wearshark，网站的话微步在线。

最近在做工业控制网络的模糊测试的实验环境配置时遇到了一些问题，在一番搜索解决问题后打算把验环境配置过程记录下来。一、实验设备PLC：SIMATIC S7-200 SMART软件：STEP 7-MicroWIN SMART虚拟机：kali Linux二、环境配置1.连接PLC首先使用网线连接PLC与电脑主机，修改主机IP地址使其与目标PLC在同一网段，如下图：（本文所使用PLC为固定IP，网段为192.168.2.X）打开S7MicroWIN SMART软件，点击通信图标通信接口选择当前