护网|护网(面试常见问题)


文章目录

  • 护网
    • 1、误报
    • 2、正向代理和反向代理的区别
    • 3、正则表达式
    • 4、正向SHELL和反向SHELL的区别
    • 5、蚁剑、菜刀、冰鞋、C刀的异同之处
    • 6、SQl注入
        • SQl注入的种类:
    • 7、对子域名的扫描(邮箱反查。电话反查)
    • 8、nmap
    • 9、常见端口及其服务
    • 10、日志分析

护网 1、误报 centos系统自动更新系统文件,设备报警,未经授权的访问外网
业务人员配置中间件,设备报警
2、正向代理和反向代理的区别 正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端
反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UOYmmP8a-1638360047705)(C:\Users\LENOVO\AppData\Roaming\Typora\typora-user-images\image-20211130170729937.png)]
3、正则表达式 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wD7LZ9DV-1638360047706)(C:\Users\LENOVO\AppData\Roaming\Typora\typora-user-images\image-20211130191402868.png)]
4、正向SHELL和反向SHELL的区别
正向Shell:攻击者连接被攻击者机器,可用于攻击者处于内网,被攻击者处于公网的情况。 反向Shell:被攻击者主动连接攻击者,可用于攻击者处于外网,被攻击者处于内网的情况。 正向代理即是客户端代理, 代理客户端, 服务端不知道实际发起请求的客户端. 反向代理即是服务端代理, 代理服务端, 客户端不知道实际提供服务的服务端

5、蚁剑、菜刀、冰鞋、C刀的异同之处
相同:都是用来连接webshell 的工具不同:相对于其他三种,冰鞋有流量动态加密

6、SQl注入 SQl注入的种类: 数字型、字符型、GRT注入、POST注入、cookie注入、布尔盲注、时间盲注、延时注入、编码注入、联合查询注入、堆查询注入等
7、对子域名的扫描(邮箱反查。电话反查) 子域名扫描
【sublist3r】:python3 sublist3r -d 域名 【子域名爆破】

8、nmap
  • - Nmap在实际中应用场合如下: - 通过对设备或者防火墙的探测来审计它的安全性 - 探测目标主机所开放的端口 - 通过识别新的服务器审计网络的安全性 - 探测网络上的主机

Nmap是主机扫描工具,他的图形化界面是Zenmap,分布式框架为Dnamp
Nmap进行完整全面的扫描
nmap –T4 –A –v

其他扫描方式
SYN扫描:利用基本的SYN扫描方式测试其端口开放状态
`namp -sS -T4 `

FIN扫描:利用FIN扫描方式探测防火墙状态。FIN扫描方式用于识别端口是否关闭,收到RST回复说明该端口关闭,否则说明是open或filtered状态
namp -sF -T4

ACK扫描:利用ACK扫描判断端口是否被过滤。针对ACK探测包,为被过滤的端口(无论打开或关闭)会回复RST包
namp -sA -T4

扫描前不进行Ping扫描测试
nmap -Pn

如果有一个ip地址列表,将这个保存为一个txt文件,和nmap在同意目录下,扫描这个txt的所有主机,命令为
nmap -iL target.txt

版本检测扫描
nmap -sV

9、常见端口及其服务
服务 端口号
HTTP 80
HTTPS 443
Telnet 23
FTP 21
SSH(安全登录)、SCP(文件传输)、端口重定向 22
SMTP 25
POP3 110
WebLogic 7001
TOMCAT 8080
WIN2003远程登录 3389
Oracle数据库 1521
MS SQL* SEVER数据库sever 1433
MySQL 数据库sever 3306
10、日志分析 NGFW、IPS、WAF、蜜罐等网络安全设备构筑起网络边界上的一道道防线,在演练实战中,这些设备都可能产生海量告警,能准确及时地分析日志,从日志中发现攻击方的痕迹,后续的预警、处置和溯源才有据可循。人工对传统安全设备的日志走读是不可避免的。
常见的日志分析方法有两种:
1.特征字符分析 顾名思义,就是根据攻击者利用的漏洞特征,进行判断攻击者使用的是哪一种攻击。SQL注入、XSS跨站脚本攻击、恶意文件上传、一句话木马连接等2.访问频率分析 不难理解,就是通过查看攻击者访问的频率来判断攻击者使用的是哪一种攻击,SQL盲注、敏感目录爆破、账号爆破、Web扫描。

相关技巧:
1.识别攻击源IP
在攻防演练前期,最重要的是识别出攻击方的IP并进行及时处理。攻击方源IP打出的日志通常具有以下类别及特点:
(1)扫描探测类; (2)手工试探类:(3)异常属性类:

2.关注重点时间日志
(1)木马连接类
(2)代理隧道类
【护网|护网(面试常见问题)】()

    推荐阅读