护网知识全面总结与实战指南

一、基础知识

1. 护网行动概述

• 护网行动是由公安部组织的网络安全攻防演练
• 主要目标：检验企事业单位网络安全防护和应急处置能力
• 形式：红队攻击 vs 蓝队防守

2. 网络安全基本概念

• 攻击面：系统暴露给攻击者的所有可能入口点
• 漏洞：系统中存在的安全缺陷
• 渗透测试：模拟黑客攻击以发现系统漏洞
• 应急响应：安全事件发生后的处理流程

3. 常见攻击类型

• Web应用攻击
• 社会工程学攻击
• 内网横向移动
• 权限提升攻击
• 持久化控制

二、Top 10漏洞详解

1. SQL注入

• 原理：通过构造恶意SQL语句操纵数据库
• 检测方法：
  • 单引号测试
  • 布尔盲注
  • 时间盲注
• 防御措施：
  • 参数化查询
  • 输入过滤
  • 最小权限原则

2. XSS跨站脚本

• 分类：
  • 反射型
  • 存储型
  • DOM型
• 利用场景：
  • 窃取Cookie
  • 钓鱼攻击
  • 键盘记录
• 防御：
  • 输入输出编码
  • CSP策略
  • HttpOnly标记

3. CSRF跨站请求伪造

• 原理：利用用户已认证状态发起恶意请求
• 防御：
  • CSRF Token
  • 同源检测
  • 二次验证

4. 文件上传漏洞

• 绕过技巧：
  • 修改Content-Type
  • 双写后缀
  • 大小写绕过
  • 00截断
• 防御：
  • 白名单验证
  • 文件内容检测
  • 重命名上传文件

5. 命令注入

• 常见注入点：
  • system()
  • exec()
  • passthru()
• 防御：
  • 禁用危险函数
  • 使用白名单
  • 参数化调用

6. 反序列化漏洞

• 原理：利用不安全的反序列化操作执行恶意代码
• 防御：
  • 签名验证
  • 使用安全的反序列化库
  • 最小化反序列化权限

7. SSRF服务器端请求伪造

• 利用场景：
  • 内网探测
  • 端口扫描
  • 文件读取
• 防御：
  • 限制请求协议
  • 禁止内网访问
  • 使用白名单

8. XXE XML外部实体注入

• 利用方式：
  • 文件读取
  • SSRF
  • DoS攻击
• 防御：
  • 禁用外部实体
  • 使用简单XML解析器
  • 输入过滤

9. 逻辑漏洞

• 常见类型：
  • 越权访问
  • 验证码绕过
  • 支付漏洞
  • 密码重置漏洞
• 防御：
  • 完整业务流程测试
  • 权限校验
  • 服务端验证

10. 组件漏洞

• 常见风险组件：
  • Fastjson
  • Shiro
  • Log4j
  • Struts2
• 防御：
  • 组件版本管理
  • 及时更新补丁
  • 最小化使用

三、应急响应流程

1. 准备阶段

• 建立应急响应团队
• 制定应急预案
• 准备工具包：
  • 网络抓包工具
  • 日志分析工具
  • 内存分析工具
  • 取证工具

2. 检测阶段

• 异常现象识别：
  • 异常流量
  • 异常进程
  • 异常日志
  • 异常文件
• 常用命令：

  netstat -antlp
  ps aux
  lsof -i
  top
  

3. 分析阶段

• 日志分析重点：
  • 异常登录
  • 异常时间访问
  • 异常IP访问
  • 异常操作记录
• 样本分析：
  • 静态分析
  • 动态分析
  • 行为分析

4. 处置阶段

• 隔离措施：
  • 网络隔离
  • 主机隔离
  • 账户禁用
• 清除措施：
  • 恶意文件删除
  • 后门清除
  • 账户清理

5. 恢复阶段

• 系统加固
• 漏洞修复
• 密码重置
• 监控加强

6. 总结阶段

• 编写事件报告
• 经验教训总结
• 防护措施改进

四、安全设备知识

1. 防火墙

• 功能：
  • 访问控制
  • NAT转换
  • 流量过滤
• 策略优化：
  • 最小权限原则
  • 定期审计规则
  • 关闭不必要端口

2. WAF

• 防护能力：
  • SQL注入防护
  • XSS防护
  • CC防护
• 绕过技巧：
  • 编码绕过
  • 注释干扰
  • 协议层绕过

3. IDS/IPS

• 区别：
  • IDS检测
  • IPS阻断
• 签名规则：
  • 特征匹配
  • 异常检测
  • 行为分析

4. 堡垒机

• 功能：
  • 运维审计
  • 权限控制
  • 会话录制
• 安全配置：
  • 双因素认证
  • 最小权限
  • 定期审计

5. SIEM

• 功能：
  • 日志聚合
  • 关联分析
  • 威胁检测
• 使用技巧：
  • 自定义规则
  • 基线建立
  • 异常告警

五、挖矿病毒处置

1. 挖矿病毒特征

• 系统表现：
  • CPU占用高
  • 异常进程
  • 异常网络连接
  • 计划任务异常
• 常见家族：
  • XMRig
  • SystemdMiner
  • Kinsing

2. 检测方法

• 命令检测：

  top -c
  ps aux | grep -E 'miner|xmrig|systemd'
  netstat -antlp | grep -E '185.71.65|144.217'
  crontab -l
  

• 文件检测：
  • /tmp目录异常文件
  • /var/spool/cron异常任务
  • /etc/ld.so.preload篡改

3. 清除步骤

1. 隔离感染主机
2. 终止挖矿进程
3. 删除恶意文件
4. 清除计划任务
5. 检查SSH密钥
6. 修复漏洞

4. 防御措施

• 及时更新补丁
• 限制外连
• 监控异常资源占用
• 禁用弱口令

六、内网渗透知识

1. 信息收集

• 网络拓扑：

  ipconfig /all
  route print
  arp -a
  

• 主机发现：

  nmap -sn 192.168.1.0/24
  netdiscover
  

2. 权限维持

• 后门技术：
  • Web后门
  • SSH后门
  • 计划任务
  • 服务后门
• 隐蔽通道：
  • DNS隧道
  • ICMP隧道
  • HTTP隧道

3. 横向移动

• 技术手段：
  • 密码喷洒
  • Pass The Hash
  • 票据传递
  • 漏洞利用
• 工具：
  • Mimikatz
  • CrackMapExec
  • Impacket

4. 域渗透

• 攻击路径：
  • 域用户→本地管理员→域管理员
  • 利用域信任关系
  • 组策略利用
• 关键漏洞：
  • Zerologon
  • AD CS滥用
  • Kerberoasting

七、哥斯拉Webshell流量特征分析

1. 连接特征

• 数据包数量：
  • 失败情况：2个数据包
  • 成功情况：3个数据包
• 首次请求：
  • 发送大量数据
  • 请求头不含Cookie
  • 响应体无数据
  • 但会设置PHPSESSID/JSESSIONID

2. Cookie特征

• 后续请求自动携带首次设置的Cookie
• 请求头中Cookie最后都带分号(;)

3. 响应体结构

• 格式：md5前16位 + base64 + md5后16位
• 注：raw加密方式除外
• MD5字符范围：0-9, a-f

4. 检测建议

• 上述特征可作为检测指标
• 但单独使用可能产生误报
• 建议结合其他特征进行综合判断

八、防御加固建议

1. 系统层加固

• 及时更新补丁
• 最小化服务
• 强密码策略
• 权限最小化

2. 应用层加固

• 输入输出过滤
• 安全编码规范
• 定期漏洞扫描
• WAF防护

3. 网络层加固

• 网络分段
• ACL控制
• 入侵检测
• 流量监控

4. 管理措施

• 安全意识培训
• 应急演练
• 安全审计
• 日志留存

九、总结

护网行动是对企业安全能力的全面检验，需要从技术和管理两个维度构建防御体系。掌握常见漏洞原理、攻击手法和防御措施是基础，同时需要建立完善的监控和应急响应机制。在实际防护中，应注重纵深防御，不依赖单一防护手段，通过多层防护提高攻击成本，降低安全风险。