HW期间，为防范钓鱼，即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便，敬请谅解~

背景

一年一度的重保活动在即，作为防守方将进行 7*24h 的值守安全设备，防守方主要从“事前排查”、“事中监控”、“事后溯源”三个维度开展自己的工作。

“事前排查”主要是针对组织资产信息进行深度了解，掌握隐形资产，发现明显风险点并修复；

“事中监控”也就是监控安全设备的告警，从海量日志中筛选出漏报、误报以及发现真实的攻击者；

“事后溯源”是基于“事中监控”的更进一步，只有从安全设备上发现更多的真实攻击者，才能提升溯源的成功率。

由于“事前排查”并非人人都需参与，故此次经验分享仅从“事中监控”和“事后溯源”两个维度展开描述，本篇讲的是“事中监控”这一部分。

精准定位

1. 扫描器

企业安全犹如木桶定律，最短的木板是评估木桶品质的标准，安全最薄弱环节也是决定企业安全好坏的关键。在重保活动中攻击者的目标很明确，找数据进内网，那么如何快速准确的从企业海量的资产中找到企业的漏洞入口点，常用的方法就是扫描器，故掌握开源或者商业的扫描器的指纹特征，可以快速的定位真实的攻击IP，做到准确封禁。指纹特征的提取一般就是基于http请求包或者响应包，下面抛砖引玉简单列举下常见的扫描器的指纹特征。

Crawlergo

0Kee-Team 开源了 360 天相的爬虫模块Crawlergo(https://github.com/0Kee-
Team/crawlergo)，白帽子通常会把 Crawlergo 集成到自己开发的扫描器中去挖掘漏洞，使用 Crawlergo 扫描网站，HTTP
头带有自定义字段 Spider-Name: crawlergo，故搜索该规则可以获取到 360 扫描器或者白帽子基于 Crawlergo
二次开放的扫描器地址。下图为通过规则检索到 Crawlergo 爬虫攻击的日志。

AWVS 扫描器

Acunetix Web Vulnerability Scanner（简称
AWVS）是一款知名的网络漏洞扫描工具，它通过网络爬虫测试你的网站安全，检测流行安全漏洞。互联网侧存在很多白帽子部署的 AWVS 扫描器，通过 Fofa
检索 title==“Acunetix” 可以看到有 659 个 IP 部署了 AWVS，如果企业未在互联侧部署有 AWVS，则可以将以上 IP
作为重点监控对象。

白帽子使用 AWVS 扫描器对企业资产进行扫描时，HTTP 请求包和响应包中都存在有特征。

（1） Accept:acunetix/wvs

（2） HTTP 请求头存在 Acunetix-* 的自定义字段

（3） HTTP 请求包或者响应包中包含 hit*.bxss.me

AWVS 在进行无回显漏洞探测时候会使用到 DNSLog（bxss.me），DNSLog 生成规则为 “http://hit” + rndToken +
‘.bxss.me/’ 随机的三级域名作为 payload。

2. DNSLog

DNSLog 是一种监控 DNS 解析记录和 HTTP 访问记录的工具，将 DNSLog 平台中的特有字段 payload 带入目标发起 DNS 请求，通过
DNS 解析将请求后的关键信息组合成新的三/四级域名带出，在 NS 服务器的 DNS 日志中显示出来。通常攻击者使用 DNSLog 测试诸如
sqli、rce、ssrf、rfi 等无回显的漏洞。下面列举下常见 DNSLog 平台，可以根据这些平台的指纹结合空间测绘发现更多的 DNSLog。

(1) 常见的 DNSLog 平台

域名

|

备注

—|—

ceye.io

|

知道创宇

admin.dnslog.link

|

四叶草安全

www.dnslog.cn

|

——

dnslog.io

|

hackit-me

hyuga.co

|

Buzz2d0

dnslog.cn

|

——

tu4.org

|

——

h.i.ydscan.net

|

——

burpcollaborator.net

|

burpsuite自带dnslog

dns1.tk

|

https://dns.xn–9tr.com/

(2) 开源的 DNSLog 工具

地址

|

备注

—|—

https://github.com/BugScanTeam/DNSLog

|

——

https://github.com/donot-wong/dnslog

|

——

https://github.com/chennqqi/godnslog

|

——

(3) Cland Beta

开源工具 X-ray 提供了一个针对无回显漏洞验证的平台 Cland Beta，通过 Fofa 语法检索到互联网上存在 200 多个 Cland
Beta，可以将以上 IP 作为重点监控对象。

另外笔者在检索互联网侧的存在 X-ray 扫描器，无意中发现部署有 X-Ray 的扫描器是可以直接关联到具体组织的，访问 Web 端接口，页面会请求接口
api/graphql_batch/，返回 banner 信息中包含 IP 归属机构，具体如下图。

最后，如果发现攻击者使用 DNSLog 攻击业务系统，可以使用如下脚本对 DNSLog 平台发送数据包，通过修改 URL 参数的值诱导攻击者到蜜罐上。

#!/usr/bin/env python# -*- coding: utf-8 -*-import requestsimport randomimport timedef atttack():for i in range(1, 1000):random_name_id = random.randint(3,8)random_name = ''.join(random.sample(['z','y','x','w','v','u','t','s','r','q','p','o','n','m','l','k','j','i','h','g','f','e','d','c','b','a'], random_name_id))random_id = random.randint(1,100)url = "http://" + str(random_id) + "." + str(random_name) + ".4ymeeo.dnslog.cn/Exploit"print(url)response = requests.get(url,timeout=5)print(response.text)if __name__ == '__main__':atttack()

3. 最新漏洞

在重保中攻击者会利用 0day 或者 Nday 攻击业务系统，通过互联网公开的漏洞情报，基于漏洞利用特征到全流量日志系统中提取相关攻击者 IP。比如
fastjson 漏洞，可以在日志中检索数据包的请求体中检索关键字 “rowset.JdbcRowSetImpl”。

4. HTTP 返回包

攻击者通过利用远程命令执行类漏洞或者 webshell
执行一些命令后，返回包中会返回命令的执行结果，这里抛砖引玉说几个返回的包含的特征，如果存在以下特征说明已经漏洞利用成功。

(1) “Windows IP”

(2) “Microsoft Corporation”(3) “drwxr–r–”/ “-rwxr-xr-x”

5. Referer 来源

渗透测试的第一步是信息搜集，信息的方法有很多，有一种方法就是结合搜索引擎，例如在 fofa 上搜索企业相关资产,如果我们直接从 fofa
上跳转到目标站点，那么请求数据包的 referer 字段就会有 fofa.so，可以以此作为判断维度，梳理出攻击者 IP，类似的搜索引擎还有
Google、ZoomEye、shodan.io、Baidu、Censys。

6. 其他手段

除了上面介绍的几种方法，还有一些其他方法，下面介绍四种方法，适用性有待考究。

其一，http 请求包中有个 X-forwarded-for 字段，某些情况下我们将其值修改为 127.0.0.1
可以绕过一些系统限制，因此提取数据包中包含这个字段的相关 IP，也会有惊喜的发现；

其二，大多数系统需要登录才能进一步操作，那么登录处大概率攻击者会尝试弱口令攻击，所以在数据包的请求体中找 username=test、 admin
等字段，如果 IP 存在多次尝试登录，那么这个 IP 也可以归为攻击者；

其三，有些攻击者不注意自己隐私，用个人信息注册目标业务系统，如果业务系统不注重用户隐私，可能数据包的 cookie 字段明文显示攻击者使用的手机号或者常用
id，在流量日志中检索包含这些敏感信息的 IP 是否存在攻击行为。

其四，查询 User-Agent 字段包含 python、golang 等脚本语言的日志，因为大部分开源的漏洞工具没有设置 User-Agent
字段，可以通过 User-Agent 判断哪些是脚本利用，但是这种搜索结果不是很准确，因为互联网上僵尸网络也会利用自定义脚本攻击业务系统。

总结

作为一名蓝方值守人员，依托安全设备，基于自己的安全经验，从海量的日志中尽可能的发现更多威胁，帮助攻防演练中甲方找到自己的短板，在第一时间进行安全修复。本文介绍了笔者在一线使用安全设备的思路，只是抛砖引玉，相信还有更多的技巧方法。关于对捕获到攻击者
IP 进行“事后溯源”，我们下篇见。

er-Agent 判断哪些是脚本利用，但是这种搜索结果不是很准确，因为互联网上僵尸网络也会利用自定义脚本攻击业务系统。

总结

作为一名蓝方值守人员，依托安全设备，基于自己的安全经验，从海量的日志中尽可能的发现更多威胁，帮助攻防演练中甲方找到自己的短板，在第一时间进行安全修复。本文介绍了笔者在一线使用安全设备的思路，只是抛砖引玉，相信还有更多的技巧方法。关于对捕获到攻击者
IP 进行“事后溯源”，我们下篇见。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。