*** 红蓝对抗不限攻击方式是什么_ *** 红蓝对抗不限攻击方式

*** 安全问题，请教专家

作为破坏力较强的黑客攻击手段，DDoS是一种形式比较特殊的拒绝服务攻击。作为一种分布、协作的大规模攻击方式，它往往把受害目标锁定在大型Internet站点，例如商业公司、搜索引擎或 *** 部门网站。由于DDoS攻击的恶劣性(往往通过利用一批受控制的 *** 终端向某一个公共端口发起冲击，来势迅猛又令人难以防备，具有极大破坏力)难以被侦测和控制，因此也广泛受到 *** 安全业界的关注。从最初的入侵检测系统(IDS)到目前新兴的全局安全 *** 体系，在防范DDoS攻击的过程中先进的 *** 安全措施发挥作用，使对抗黑客攻击的手段日益提升，向着智能化、全局化的方向大步迈进。

知己知彼:全面解剖DDoS攻击

分布式攻击系统和我们日常生活中司空见惯的客户机/服务器模式非常相象，但是DDoS系统的日趋复杂性和隐蔽性使人难以发现。入侵者控制了一些节点，将它们设计成控制点，这些控制点控制了Internet大量的主机，将它们设计成攻击点，攻击点中装载了攻击程序，正是由这些攻击点计算机对攻击目标发动的攻击。DDoS攻击的前奏是率先攻破一些安全性较差的电脑作为控制点主机。因为这些电脑在标准 *** 服务程序中存在众所周知的缺陷，它们还没有来得及打补丁或进行系统升级，还有可能是操作系统本身有Bug，这样的系统使入侵者很容易闯入。

典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中， *** 资源或 *** 设备被高流量数据包所消耗。在应用攻击时，TCP或HTTP资源无法被用来处理交易或请求。发动攻击时，入侵者只需运行一个简单的命令，一层一层发送命令到所有控制的攻击点上，让这些攻击点一齐“开炮”——向目标传送大量的无用的数据包，就在这样的“炮火”下，攻击目标的 *** 带宽被占满，路由器处理能力被耗尽。而较之一般的黑客攻击手段来说，DDoS的可怕之处有二:一是DDoS利用Internet的开放性和从任意源地址向任意目标地址提交数据包;二是人们很难将非法的数据包与合法的数据包区分开。

屡战屡败:防范手段失效溯源

既然了解DDoS攻击的起源结果，为什么还会让它如此肆虐呢?平心而论，以往所采用的几种防御形式的被动和片面，是DDoS攻击难以被遏止的真正原因。

在遭遇DDoS攻击时，一些用户会选择直接丢弃数据包的过滤手段。通过改变数据流的传送方向，将其丢弃在一个数据“黑洞”中，以阻止所有的数据流。这种 *** 的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃，业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用，拒绝为合法用户提供接入。这样做的结果很明显，就是“因噎废食”，可以说是恰恰满足了黑客的心愿。

既然“因噎废食”不可取，那么路由器、防火墙和入侵检测系统(IDS)的功效又怎样呢?从应用情况来看，通过配置路由器过滤不必要的协议可以阻止简单的ping攻击以及无效的IP地址，但是通常不能有效阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。而防火墙可以阻挡与攻击相关的特定数据流，不过与路由器一样，防火墙不具备反嗅探功能，所以防范手段仍旧是被动和不可靠的。目前常见的IDS能够进行异常状况检测，但它不能自动配置，需要技术水平较高的安全专家进行手工调整，因此对新型攻击的反应速度较慢，终究不是解决之道。

全局安全:充分遏制DDoS魔爪

深究各种防范措施对DDoS攻击束手无策的原因，变幻莫测的攻击来源和层出不穷的攻击手段是症结所在。为了彻底打破这种被动局面，目前业界领先的 *** 安全技术厂商已然趋于共识:那就是在 *** 中配置整体联动的安全体系，通过软件与硬件技术结合、深入 *** 终端的全局防范措施，以加强实施 *** 安全管理的能力。

以锐捷 *** 2004年底推出的GSN??全局安全 *** 解决方案为例，它在解决DDoS方面给出了自己独特的见解。首先，GSN??在 *** 中针对所有要求进行 *** 访问的行为进行统一的注册，没有经过注册的 *** 访问行为将不被允许访问 *** 。通过GSN??安全策略平台的帮助，管理员可以有效的了解整个 *** 的运行情况，进而对 *** 中存在的危及安全行为进行控制。在具体防范DDoS攻击的过程中，每一个在 *** 中发生的访问行为都会被系统检测并判断其合法性，一旦发觉这一行为存在安全威胁，系统将自动调用安全策略，采取直接阻止访问、限制该终端访问 *** 区域(例如避开 *** 内的核心数据或关键服务区，以及限制访问权限等)和限制该终端享用 *** 带宽速率的方式，将DDoS攻击发作的危害降到更低。

在终端用户的安全控制方面，GSN ??能对所有进入 *** 的用户系统安全性进行评估，杜绝 *** 内终端用户成为DDoS攻击来源的威胁。从当用户终端接入 *** 时，安全客户端会自动检测终端用户的安全状态。一旦检测到用户系统存在安全漏洞(未及时安装补丁等)，用户会从 *** 正常区域中隔离开，并自动置于系统修复区域内加以修复，直到完成系统规定的安全策略，才能进入正常的 *** 环境中。这样一来，不仅可以杜绝 *** 内部各个终端产生安全隐患的威胁，也使 *** 内各个终端用户的访问行为得到了有效控制。通过在接入 *** 时进行自动“健康检查”，DDoS再也不能潜藏在 *** 中，并利用 *** 内的终端设备发动攻击了。

对于用户来说，正常业务的开展是最根本的利益所在。随着人们对Internet的依赖性不断增加，DDoS攻击的危害性也在不断加剧。不少安全专家都曾撰文指出:及早发现系统存在的攻击漏洞、及时安装系统补丁程序，以及不断提升 *** 安全策略，都是防范DDoS攻击的有效办法。而先进的全局安全 *** 体系的出现，实现了将系统层面和 *** 层面相结合来有效的进行安全解决方案的自动部署，进一步提高了对于DDoS这类“行踪飘渺”的恶性 *** 攻击的自动防范能力。尽管目前以DDoS为代表的黑客攻击仍旧气焰嚣张，但是在可以预见的将来，广大用户手中握紧的安全利刃必定可以斩断DDoS的魔爪

常见的 *** 攻击方式有哪些？

1、跨站脚本-XSS

相关研究表明，跨站脚本攻击大约占据了所有攻击的40%，是最为常见的一类 *** 攻击。但尽管最为常见，大部分跨站脚本攻击却不是特别高端，多为业余 *** 罪犯使用别人编写的脚本发起的。

跨站脚本针对的是网站的用户，而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码，然后网站访客执行这段代码。此类代码可以入侵用户账户，激活木马程序，或者修改网站内容，诱骗用户给出私人信息。

防御 *** ：设置Web应用防火墙可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器，能够识别并阻止对网站的恶意请求。购买网站托管服务的时候，Web托管公司通常已经为你的网站部署了WAF，但你自己仍然可以再设一个。

2、注入攻击

开放Web应用安全项目新出炉的十大应用安全风险研究中，注入漏洞被列为网站更高风险因素。SQL注入 *** 是 *** 罪犯最常见的注入 *** 。

注入攻击 *** 直接针对网站和服务器的数据库。执行时，攻击者注入一段能够揭示隐藏数据和用户输入的代码，获得数据修改权限，全面俘获应用。

防御 *** ：保护网站不受注入攻击危害，主要落实到代码库构建上。比如说：缓解SQL注入风险的首选 *** 就是始终尽量采用参数化语句。更进一步，可以考虑使用第三方身份验证工作流来外包你的数据库防护。

3、模糊测试

开发人员使用模糊测试来查找软件、操作系统或 *** 中的编程错误和安全漏洞。然而，攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。

采用模糊测试 *** ，攻击者首先向应用输入大量随机数据让应用崩溃。下一步就是用模糊测试工具发现应用的弱点，如果目标应用中存在漏洞，攻击者即可展开进一步漏洞利用。

防御 *** ：对抗模糊攻击的更佳 *** 就是保持更新安全设置和其他应用，尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。

4、零日攻击

零日攻击是模糊攻击的扩展，但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的，在Windows和chrome软件中发现了潜在的零日攻击。

在两种情况下，恶意黑客能够从零日攻击中获利。之一种情况是：如果能够获得关于即将到来的安全更新的信息，攻击者就可以在更新上线前分析出漏洞的位置。第二种情况是： *** 罪犯获取补丁信息，然后攻击尚未更新系统的用户。这两种情况，系统安全都会遭到破坏，至于后续影响程度，就取决于黑客的技术了。

防御 *** ：保护自己和自身网站不受零日攻击影响最简便的 *** ，就是在新版本发布后及时更新你的软件。

5、路径(目录)遍历

路径遍历攻击针对Web

root文件夹，访问目标文件夹外部的未授权文件或目录。攻击者试图将移动模式注入服务器目录，以便向上爬升。成功的路径遍历攻击能够获得网站访问权，染指配置文件、数据库和同一实体服务器上的其他网站和文件。

防御 *** ：网站能否抵御路径遍历攻击取决于你的输入净化程度。这意味着保证用户输入安全，并且不能从你的服务器恢复出用户输入内容。最直观的建议就是打造你的代码库，这样用户的任何信息都不会传输到文件系统API。即使这条路走不通，也有其他技术解决方案可用。

ddos攻击是什么？怎么阻止服务器被ddos？

DDoS攻击是由DoS攻击转化的，这项攻击的原理以及表现形式是怎样的呢？要如何的进行防御呢？本文中将会有详细的介绍，需要的朋友不妨阅读本文进行参考.

DDoS攻击原理是什么?随着 *** 时代的到来， *** 安全变得越来越重要。在互联网的安全领域，DDoS(Distributed

DenialofService)攻击技术因为它的隐蔽性，高效性一直是 *** 攻击者最青睐的攻击方式，它严重威胁着互联网的安全。接下来的文章中小编将会介绍DDoS攻击原理、表现形式以及防御策略。希望对您有所帮助。

DDoS攻击原理及防护措施介绍

一、DDoS攻击的工作原理

1.1 DDoS的定义

DDos的前身 DoS

(DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗 *** 带宽或系统资源，导致 *** 或系统不胜负荷而停止提供正常的 *** 服务。而DDoS分布式拒绝服务，则主要利用

Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的 *** 。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或 *** 发起DoS攻击，大量消耗其 *** 带和系统资源，导致该 *** 或系统瘫痪或停止提供正常的 *** 服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

1.2 DDoS的攻击原理

如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机(

handler)、攻击傀儡机( demon，又可称agent)和受害着(

victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

图1分布式拒绝服务攻击体系结构

之所以采用这样的结构，一个重要目的是隔离 *** 联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的 *** 阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标；

2)有安全漏洞的主机并获取控制权；

3)入侵主机中安装攻击程序；

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击 *** 机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离 *** ，以逃避追踪要着，攻击操纵机将命令发布到各个攻击 *** 机。在攻击 *** 机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或 *** 带宽。如果数百台甚至上千台攻击 *** 机同时攻击一个目标，就会导致目标主机 *** 和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标 *** 的防火墙和路由器等 *** 设备，进一步加重 *** 拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

2.1 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对 *** 带宽的攻击，即大量攻击包导致 *** 带宽被阻塞，合法 *** 包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供 *** 服务。

2.2 攻击识别

流量攻击识别主要有以下2种 *** ：

1) Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽；

2)

Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量

SYN_RECEIVED、 TIME_WAIT， FIN_

WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

3.1 SYN/ACK Flood攻击

这种攻击 *** 是经典有效的DDoS攻击 *** ，可通杀各种系统的 *** 服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用

Netstat-na命令会观察到存在大量的 SYN

RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN

RECV状态，等待系统A返回ACK分组；此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除；因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

图2 SYN Flooding攻击流程

3.2 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤

TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多 *** 服务程序(如：IIS、

Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

3.3 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、 *** P、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、

Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击 *** 。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过

Proxy *** 向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy *** 就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些 *** 会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的说，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御大多数的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

4.1 采用高性能的 *** 设备

抗DDoS攻击首先要保证 *** 设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

4.2 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用 *** 地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低 *** 通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对 *** 包的校验和进行计算，因此浪费了很多CPU的时间。

4.3 充足的 *** 带宽保证

*** 带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的

SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为 *** 服务商很可能会在交换机上限制实际带宽为10M。

4.4 升级主机服务器硬件

在有 *** 带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4

2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

4.5 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，到现在为止还没有出现关于HTML的溢出的情况，新浪、搜狐、网易等门户网站主要都是静态页面。

此外，更好在需要调用数据库的脚本中拒绝使用 *** 的访问，因为经验表明使用 *** 访问我们网站的80%属于恶意行为。

五、总结

DDoS攻击正在不断演化，变得日益强大、隐密，更具针对性且更复杂，它已成为互联网安全的重大威胁，同时随着系统的更新换代，新的系统漏洞不断地出现，DDoS的攻击技巧的提高，也给DDoS防护增加了难度，有效地对付这种攻击是一个系统工程，不仅需要技术人员去探索防护的手段， *** 的使用者也要具备 *** 攻击基本的防护意识和手段，只有将技术手段和人员素质结合到一起才能更大限度的发挥 *** 防护的效能。相关链接

应用安全体系建设之路

只要提到应用安全，总是离不开一个概念——sdl建设，但是在大部分互联网公司并没有看到过哪家SDL做的好的，SDL强调安全流程，从业务需求的提出就介入进去，在整个业务的研发周期中，每一块都有相应的安全 *** 、安全制度来指导，安全作为业务的一个属性加入进去，SDL在过程中实施的是对业务的卡点、考核。

这块主要是对流程进行梳理，把安全与项目研发流程相结合形成项目的安全开发管控流程，安全贯穿到整个项目研发流程中，包括前期的需求分析，安全设计、代码编写、代码上线部署、测试环境测试、正式环境上线运行等，可以认为此时走传统的SDL流程。

这里有个问题，若是业务量增长的话对于人力成本是巨大的，这里很多公司就结合DevSecOps理念来解决一部分人手不足的问题，这个框架讲研发、运维、安全作为一个团队来对业务的安全负责，安全不单是安全团队的怎样，成了业务中每个人的责任。下面简要说下DevSecOps理念及落地实施。

对于DevSecOps的落地来说，这个只是个框架，是个 *** 论，具体的技术实施呢，都知道是将Sec融入到Dev和Ops的里面，对于怎么融入、怎样结合到起来，就需要根据不同公司的不同特点来定了。

对于安全来说，主要的任务就是保护公司的业务不会被外界入侵，不会被外界攻击，攻击能及时发现切断。

DevSecOps框架需要建设不同的安全体系，需要不断优化和完善对于的体系来覆盖框架的不同阶段。对于在真正的实施过程中，大部分公司都可能涉及到以下不同的能力建设，在具体落地过程中，笔者认为可以简单总结为几个能力建设：主动发现的能力、被动发现的能力、业务管控的能力、安全运营的能力。

主动发现的能力简单来说是能主动发现业务中的安全问题、安全漏洞、安全风险，业界中比较常用的技术有黑盒扫描、白盒扫描、安全评估与测试以及红蓝对抗。

这个是每个公司都会有的，也是初期重点建设的一块，有采用商业扫描工具：awvs、appscan等，也有采用自研方式进行。

这里不说商业的扫描工具，对于互联网公司，大部分都会采用自研扫描工具的方式进行，简单说下自研扫描器里面涉及到的一些需要重点考虑的地方：

白盒的话在互联网公司除了几个大厂有自研的引擎外，据了解都是采用了商业的工具，在具体的落地过程中也调研了不少白盒扫描工具：checkmarx、coverity、codeql、sonarqube。

checkmarx和coverity都有sonarqube的插件在，都可以作为sonar的一个引擎来工作，对于sonar来说，很多互联网公司都基于这个做代码质量的扫描，这个其实给做白盒能力有了很大的便利性。

checkmarx对于web来说效果比coverity要好些，并且对于用户的使用体验和操作都是比较不错，将checkmarx插件集成到sonar里面，这样业务不需要单独集成checkmarx，而是只需要按照以前的流程集成sonar就可加入安全扫描的能力。

但是有一点需要考虑，对于安全结果来说业务很多时候不知道是不是误报还是真实的安全风险，这就需要安全人员介入到流程里面，对代码扫描的结果进行审核，确定是漏洞的提交给业务，不是漏洞的直接忽略处理，这样前期需要大量的人工参与，需要不断优化规则，不断调整策略减少误报。前期可以通过对结果的分析可以将一些误报率较高的规则下掉，只留高威胁级别的规则在，保证人工在每天是可以覆盖的住流程的

后期的话由于sonar是带有api接口的，可以基于sonar包装一层，构建安全自己的代码扫描平台，可以提供api接入到CI中，可以将漏洞审核与漏洞管理平台打通，可以通过平台调整规则、新加规则等。这样在整个CI中，sonar+代码扫描平台两个，业务只要关心sonar上面的代码质量问题，安全只要登入代码扫描平台审核白盒扫描出来的漏洞即可。

这里涉及到一个白盒里面的子项目：白盒扫描插件，这个作为白盒检测，更加进行了左移，在业务编写代码的时候就直接进行扫描。可以基于： 来包装一层来做

还有一个白盒的子项目：第三方组件的漏洞发现，这个做起来可以通过采购商业软件来实现，比如Blackduck或者xray，对业务是透明的，只要安全人员控制好流程和策略。

红蓝对抗是一种能更深层次发现安全问题和安全风险的方式。每过一段时间组织一次蓝队行动，对着一个核心目标不限手段、不限方式地进行攻击，以获取核心目标为目的。可以更好地发现整个业务体系中存在的安全问题和安全风险点，帮助红队进行安全优化及建设，红蓝对抗在安全进行中一定程度后可以考虑重点进行建设，对于整个风险的发现和推动是巨大的。

被动发现安全风险的能力，可以采用的技术有：安全监控、蜜罐

监控可以分为两类：未发现风险的监控、风险之中的监控，风险之后的溯源

为了发现风险的监控，可以提前杜绝掉风险的发生，比如前面说的，若是资产梳理是没有问题的，可以每天将业务新增的资产进行扫描查看，比如：新上的域名是一个管理系统，他没有走内部的安全流程，就存在问题，直接要求整改。新上的域名、服务器直接进行扫描器的扫描，可以之一时间发现是否存在漏洞。

发生风险的时候的监控：

- 攻击流量监控 ：这个就是有很多扫描器、很多测试的数据的特征进行流量监控，监控到了直接报警，也可结合SOC进行数据分析处理，利用WAF进行自动化封IP等防御措施，这样将内部各个防御能力打通，实现自动化编排，后期流量日志采用大数据建模方式来发现未特征化的攻击。

- DNS监控： 对于很多命令执行、SQL注入、SSRF等漏洞的探测大部分是通过DNS来的，内部系统发起DNS请求是可以在内部DNS服务器上捕捉到的，这样将DNS日志监控起来，初始先制定一些黑名单，观察是否有机器对外发现这些恶意DNS请求了，对这些机器进行分析，就有可能发现未知的存在的安全风险。

- SQL执行日志监控： 对于sql注入的发现还是比较有用的，SQL注入通常会有一些注入特征在，只要匹配到这些特征，就可以发现某个业务在遭受sql注入的攻击

除此之外，对外界代码仓库、文档仓库的监控也是属于监控体系的，包括GitHub监控、百度网盘监控等等，这个github好说，很多开源的工具系统存在，将业务的关键信息加入到监控中即可，对于百度网盘之类的监控就不太好做了。

这个也是发现攻击的一种很好的方式，不单可以发现外部使用到的poc、密码字典等等信息，也能发现一些未知的攻击方式和APT行为存在

业务管控能力，比较通用的是WAF，为啥把WAF能力放在安全管控上面，WAF是可以做到哪些ip能访问，哪些ip不能访问，哪些路径能访问，哪些路径不能访问到的，说起来也是对业务的访问做的管理。WAF有很多成熟的商业产品在用，也可以自研，自研的话前期是基于正则匹配来做的，通过匹配对应的参数位置上的参数值是否包含有关键字来做。后期的话要想准确性高、误报率小的话还是需要机器学习和语义分析来做。

现在对于业务管控比较热门的零信任体系的建设，比较常见的是安全网关的模式，有空说下零信任的一些内容，现阶段知识还不深，就不说了，再深入研究研究看。

提到安全运营，很多人的脑袋想到的都是举办些安全活动，打打杂之类的工作，在笔者看来，一个企业的安全运营能力才真正能体现出该企业的安全能力，安全运营是推动SDL流程不断优化、不断完善的动力，是为DevSecOps规划建设指明道路和方向的。

技术要是没有了运营，是无法进行后续的优化和改进的，运营没有了技术，是虚的空的，无法落地的，安全运营包括了外部运营、内部运营，不同的运营又可划分为非技术运营、技术运营两种

外部运营里面的非技术运营，主要包括了安全品牌的建设、宣传等，主要是提供公司在业界的影响力，这样可以更好的吸引外部的安全研究者为我们服务，更好的吸引外界安全人员以外部视角参与到公司的安全建设中来

外部的技术运营：组织技术人员参加外部的比赛、大会等，发表技术文章等，以技术能力展现出来，这样在行业中展示出公司的技术实力。

内部非技术运营：汇总每个能力方面的数据做分析，将各个能力的结果通过数据化的方式展示出来，一方面可以给老板看到能力的建设进展情况，也能使大家了解到自己做的工作的成果

具体的落地可采用：数据大屏的方式来展示出来，通过soc平 *** 成。

内部技术运营：通过非技术运营出来的结果反哺各个能力建设，通过内部、外部发现的安全问题，优化各个能力的建设，补充不足之处，推动流程优化和DevSecOps建设方向。

具体落地：主要是需要运营人员对每一部分的能力建设比较了解，通过看问题能发现更深层面的东西，然后对每个结果进行安全能力上面的推动。

红蓝对抗之蓝队防守：ATT&CK框架的应用

文章来 源： HACK之道

企业大规模数字化转型的浪潮下，各类 *** 入侵事件频发、APT和黑客团伙活动猖獗，合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展，企业安全建设正逐步向实战化转型，而MITRE（一个向美国 *** 提供系统工程、研究开发和信息技术支持的非营利性组织）提出的ATTCK框架正是在这一过程中能够起到指导性作用的重要参考。

ATTCK框架在2019年的Gartner Security Risk Management Summit会上，被F-Secure评为十大关注热点。ATTCK是一套描述攻击者战术、技术和执行过程的共享知识库，能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATTCK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容，并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATTCK分为三个部分，分别是PRE-ATTCK，ATTCK for Enterprise和ATTCK for Mobile。其中，PRE-ATTCK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATTCK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗，目前已在多个领域得到较好的应用。

在红蓝对抗中，防守方都可以按照事前、事中、事后三个阶段进行应对，在ATTCK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板，包括但不限于：对外提供业务的Web系统、邮件系统、VPN系统，对内提供服务的OA系统、运维系统、开发环境，员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的，在企业内进行攻击面评估属于信息收集和脆弱性识别的过程，能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性，在红蓝对抗中防守方往往处于弱势，攻击方只需要单点突破即可，而防守方需要建立覆盖所有攻击面的纵深防御体系，很难做到万无一失。但在 信息收集阶段，是为数不多的防守方占优的阶段，主要原因包括：

1. 攻击方只能通过互联网 *** 息（Google、社交网站、Github）或传统社工方式获取部分企业信息，而防守方能够获得完整的企业内部信息，包括 *** 架构、业务系统、资产信息、员工信息等等，掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节，还能够结合诱骗或欺诈技术（Deception，如蜜罐），在攻击者能够获取到的信息中埋点，实现类似软件“动态污染”的检测和追踪效果。

2. 攻击面评估能够在特定阶段（如重保时期）通过采取更严格的管控措施降低入侵风险， 通过有限的代价获取更大攻击者入侵难度提升 ，具有很高的投资回报率。例如，获取VPN通道，相当于突破了企业传统的防护边界，直接获取内网漫游的权限。在特定情况下，通过增强VPN防护，能够大大缩减攻击者入侵成功的可能性。突破VPN主要有2种方式，利用VPN服务器本身的漏洞或通过合法VPN账号入侵。对于之一种方式，关注VPN厂商漏洞披露信息、做好补丁升级管理，能够有效减少大部分威胁；对于利用0day漏洞攻击VPN获取远程访问权限的场景，通过VPN自身日志审计的方式，关联VPN账号新建、变更及VPN服务器自身发起的访问内网的流量，也能够及时发现未知的漏洞攻击行为。对于第二种攻击VPN合法账号的入侵方式，增加VPN账号的口令复杂度要求、临时要求修改VPN账号口令并增加双因子验证（如绑定手机号短信验证），都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATTCK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖，对其分解可以提取每项攻击技术适用的攻击对象，参照企业内的资产和服务，评估攻击面暴露情况和风险等级，能够帮助制定有效的攻击面缩减、消除或监控手段。例如，防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求，是否存在敏感信息，并针对这些内容设定合规性要求和强制措施，以缩减该攻击面暴露情况。

综上，ATTCK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段，同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系，无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立，可以有效地把孤立的安全防御和安全审计手段串联起来，形成完整的企业安全态势，为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作：

1.数据源梳理： 数据是实现安全可见性的基础元素，缺少多维度和高质量的数据会严重影响监控覆盖面；同时，很多企业会为了满足 *** 安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此，在数据源的规划、管理上，由威胁驱动的数据源需求和由合规驱动的日志数据留存，存在匹配度低、使用率低、有效性低的诸多问题，需要防守方加以解决。

* We can’t detect what we can’t see.

在进行数据源规划时，需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如：针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险，需要采集哪些数据？首先需要考虑企业实际的邮件系统情况，比如使用自建的Exchange邮件服务，需要采集的数据包括：Exchange邮件追踪日志、IIS中间件日志、 *** TP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破？还是通过邮件协议认证爆破？还是通过Webmail或客户端接口撞库？不同的企业开放的邮箱访问方式不同，暴露的攻击面和遭受的攻击 *** 也有所区别，需要根据实情梳理所需的数据源。

在数据源梳理上，由于涉及到的威胁类型、攻击 *** 众多，考虑周全很困难，可以通过参考ATTCK框架选取企业相关的攻击技术，统计所需的数据源类型，并梳理数据源采集、接入优先级。关于数据源优先级筛选，2019年MITRE ATTCKcon 2.0会议上Red Canary发布的议题：Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序，如下图所示：

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等，不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括 *** 镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划，再通过实际的检测效果增强补充。

2. 检测规则开发：大数据智能安全平台（或参考Gartner所提的Modern SIEM架构）已逐步取代传统的SIEM产品，成为企业威胁感知体系的核心大脑。传统的攻击检测 *** 大多是基于特征签名（Signature），采用IOC碰撞的方式执行，在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题，且在防守方看来无法做到检测效果的衡量和能力评估。因此，新的检测理念需要从行为和动机出发，针对攻击者可能执行的操作完善审计和监控机制，再采用大数据关联分析的方式去识别攻击活动。

ATTCK框架在这里就起到了非常重要的参考作用，框架中的每项攻击技术，知识库都描述了相应的检测手段和过程，以T1110暴力破解为例，其Detection描述如下图所示。

虽然没有抽象出具体检测 *** 、检测规则，但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述，防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测 *** 和检测规则的开发、部署、测试。此外，高级持续性威胁（APT）使用了较多的白利用技术，无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼，打上技术标签，后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测 *** 结合，就提供了更加有效的补充手段。

综上，威胁感知体系的建立，需要通过数据源梳理和检测规则开发来完成基础准备工作，ATTCK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则，使防守方脱离安全可见性盲区，实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前 *** 安全防御能力并找出薄弱点，部分企业会进行内部红蓝对抗模拟演练，ATTCK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1.红队技术指导：ATTCK框架包含了266种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现“发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，攻击技术链包括：钓鱼 - hta执行 - 服务驻留 - 凭证获取 - 远程系统发现 - 管理员共享，如下图红色链路所示。

2. 蓝队效果评估：内部模拟对抗是企业防守方检查实际威胁感知能力的更佳手段，对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时，防守方也可以通过模拟演练提炼极端情况下的缓解预案，包括：临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上，内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段，作为大考前的模拟考，对防守方具有很大的查漏补缺、优化完善的作用，而ATTCK框架在这个阶段，对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分，在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外，对于已突破边界防护进入内网漫游阶段的攻击者，基于ATTCK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATTCK主机威胁分布矩阵图，汇聚该主机上近期被检测到的所有攻击技术活动，然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型，监控主机是否失陷。异常模型从以下三个维度识别攻击：

1.攻击技术分布异常：多个战术下发生攻击、某个战术下发生多个不同攻击等。

2. 攻击技术数量异常：主机上检测到大量攻击技术，与基线对比偏差很大。

3. 特定高置信度失陷指标：主机上触发了高置信度规则检测到的高风险告警（传统的Trigger机制）。

以下图为例，主机短时间内触发一系列“发现”战术下的攻击技术，这在日常运维中是较为少见的，与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作，故该机器风险很高，判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志（包括：进程活动、注册表活动、文件活动和 *** 活动），可以通过唯一进程ID（GUID）进行父子进程关联操作。当发现可疑进程活动时，能够回溯该进程的进程树，向上直到系统初始调用进程，向下包含所有子进程，并且为进程树中所有可疑进程添加ATTCK攻击技术标签，如 *** 请求、域名请求、文件释放等丰富化信息，帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例，发现可疑进程wscript.exe后溯源其进程树，其中标记了感叹号的子进程为命中了ATTCK攻击技术的进程，无感叹号的子进程也属于该可疑进程树下，有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息，可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为，这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程 *** 连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析，通过回溯攻击者入侵植入木马的手段，进一步排查是否存在数据缺失、规则缺失导致的攻击漏报；并通过关联所有具有相似行为的终端，确认是否存在其他未知失陷资产。

以上基于ATTCK框架建立的资产风险监控和可疑进程判定 *** ，能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹，并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路，更多与ATTCK框架适配的应用 *** 也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段，防守方对防御效果的评估是非常重要的环节。具体包括以下内容：

安全设备漏报分析：结合攻击方提供的报告，把各个攻击类型归属到相应的安全检测设备，查看相关设备的告警与报告中的攻击过程是否匹配，分析当前安全设备检测能力，较低检出率的设备需要后续协调厂商优化、更新规则等，以加强完善。

规则误报调优：在红蓝对抗开展阶段，为了确保对攻击方攻击过程的全面覆盖检测，通常会采用限制条件较宽松的规则检测模式，以防漏报对防守方造成的失分影响。例如，对暴力破解场景，触发告警的连续登录失败请求阈值可能设定的较低；对Webshell植入场景，可能对所有尝试上传动态脚本文件的行为都做监控或拦截，以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则，在红蓝对抗过程中能够尽量减少攻击漏报，具有比较好的效果；但同时，由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中，需要对产生误报的数据和误报原因进行统计分析，完善检测规则逻辑、边界条件限制，配置适当的白名单过滤，为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析：在红蓝对抗准备和红蓝对抗开展阶段，防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作，因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择，来挖掘是否存在先前遗漏的边缘资产、未知攻击面，通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析，补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进：针对红蓝对抗中发现的薄弱环节，防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大，重点关注的核心资产、靶标也有所差别，在准备过程中可能根据优先级选择了比较关键的几个领域优先开展，而通过红蓝对抗发现的其他薄弱环节，为后续开展哪些方向的工作提供了参考。例如，重点加强生产环境安全防护的，可能忽略了员工安全意识培训，导致被攻击者钓鱼的方式突破入侵；重点关注网站安全的，可能忽略了服务器存在其他暴露在外的端口或服务，被攻击者通过探测发现，利用已知漏洞或0day漏洞控制服务器绕过。结合ATTCK框架补充对应的数据源和攻击技术检测手段，可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程，也为后续持续优化改进提供参考。在这里ATTCK框架起到的作用主要是统一攻防双方语言，将每一个攻击事件拆分成双方都可理解的技术和过程，为红蓝对抗走向红蓝合作提供可能。

HW蓝队必看课程（文末有模板文档分享）

国家 *** 安全主管部门为落实全国 *** 安全和信息化工作会议精神而发起了长期专项行动，旨在检验各单位信息基础设施和重点网站 *** 安全的综合防御能力和水平，实战验证相关单位“监测发现、安全防护和应急处置”的能力，发现并整改 *** 系统存在的深层次安全问题，进一步以防攻击、防破坏、防泄密、防重大故障为重点，构建多层次多渠道合作、各单位各行业和全民共同参与、众人受益的“钢铁城墙”。

hw行动分攻击和防守两个队伍，一般叫红队和蓝队，攻击方的目标是拿下DNS服务器、OA系统服务器、工控系统服务器等的控制权。攻击手段包括weblogic的WLS的0day漏洞利用、4A服务器的0day漏洞攻击、致远OA服务器攻击、Struts 2漏洞攻击等。

红蓝队对抗与渗透测试都是模拟黑客攻击，但有以下的不同点：

时间：在渗透测试中会制定明确的时间点完成（通常是两星期），而红蓝队对抗并无明确时间，两星期或半年都可以。

技术：红蓝队对抗不单止需要渗透技术，还需要懂得机器学习、自动化等技术。

过程：渗透测试过程是有条不絮的进行。而红队攻击过程中不会全面收集企业资产，也不会进行大规模漏洞扫描。红队攻击的策略主要是依据蓝队防护策略、工具等，拥有不定性。

输出：红蓝队对抗后会出现清晰的脆弱点、攻击路径及解决方案。

目的：渗透测试是为了了解自身 *** 资产是否存在风险点；而红蓝队对抗更对是了解自身 *** 资产能否在遭受攻击后能迅速进行应急响应。

关注点：红蓝队对抗更专注的是应用层上的漏洞，而不是信息技术上的漏洞。

攻击队（蓝队）分类

军火商级：掌握0day漏洞、具备编写工具的能力。甚至有vpn的漏洞。攻击特点：直接攻击，如导弹、大炮一般，攻击猛烈，效果极强。

间谍级：长期APT钓鲸攻击，打入红队内部，通过木马控制重要用户终端，从而控制目标服务器。与系统管理员同工同息，极难被发现。

摊贩级：使用攻击工具，利用已有漏洞进行攻击，打击效果一般。

600人组成的蓝方，红方需12万人参与防御。

得分标准：

蓝队：获取权限、穿透 *** 隔离、发现被控线索。

红队：发现木马、钓鱼邮件、溯源、应急处置。

渗透测试和红蓝队对抗都是企业或机构最重要的防护手段，其结果都是为了应对当前不断增加的安全漏洞及复杂多样的 *** 攻击。只有企业不断经过渗透测试和红蓝对抗，形成漏洞闭环，才能构建强有力的安全防御体系。