HVV蓝队实战面试题
HVV蓝队实战,防守筹备之“部署蜜罐捕获横向扫描行为”。
蜜罐通过模拟内网脆弱服务(如SMB、SSH、数据库端口),诱捕攻击者突破边界后的横向探测行为。
通过监测高频端口扫描、非常规协议请求及非授权IP段遍历,结合多源日志分析攻击工具指纹(如Nmap时序特征、Masscan的原始包特征);动态诱饵技术(如伪造敏感文件、协议层交互延迟)可干扰攻击者判断,同时联动EDR、防火墙实时阻断恶意IP,快速定位失陷主机,构建“监测-诱捕-响应”的主动防御闭环,提升内网横向威胁的全链路感知能力。
《网安面试指南》
https://mp.weixin.qq.com/s/RIVYDmxI9g_TgGrpbdDKtA?token=1860256701&lang=zh_CN
5000篇网安资料库https://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247486065&idx=2&sn=b30ade8200e842743339d428f414475e&chksm=c0e4732df793fa3bf39a6eab17cc0ed0fca5f0e4c979ce64bd112762def9ee7cf0112a7e76af&scene=21#wechat_redirect
结合护网攻防场景,请阐述如何通过蜜罐捕获攻击者在突破边界后发起的横向扫描行为,并回答以下问题:
-
横向扫描的哪些行为特征可以被蜜罐有效捕捉?如何区分正常运维流量与恶意扫描?
-
蜜罐在捕获横向扫描行为时,如何通过数据建模或日志分析还原攻击者的技术路径(如工具类型、扫描策略)?
-
攻击者可能采取哪些手段绕过蜜罐的检测(如流量混淆、慢速扫描)?蜜罐应如何针对性设计防御策略?
-
如何结合蜜罐捕获的横向扫描数据,联动其他安全设备(如EDR、防火墙)实现主动防御?
考察维度与参考答案
1. 行为特征提取与流量区分
关键点: 横向扫描通常表现为高频端口探测、非常规协议请求、内网IP段遍历等。
技术细节:
高频低交互协议请求: 攻击者使用Nmap、Masscan等工具时,可能对大量IP的22/445/3389端口发起SYN/TCP半连接扫描,蜜罐可通过统计单位时间内同一源的端口请求频率识别异常。
非常规协议指纹: 例如攻击者扫描SMB、Redis等协议时,若请求包中缺失合法认证字段(如SMB的NTLM协商头),可判定为恶意行为。
内网IP遍历模式: 真实运维通常针对已知IP,而攻击者可能对192.168.0.0/24等私有地址段进行顺序或随机扫描。
区分正常流量: 结合白名单机制(如运维跳板机IP、特定服务账号)、行为基线(如工作时间外的扫描告警)、协议完整性(如SSH扫描后是否有合法登录)。
2. 攻击者技术路径还原
数据建模方法:
工具指纹识别: 通过数据包中的TTL值、TCP窗口大小、扫描时序(如Nmap的-T4模式)判断工具类型。例如:Nmap默认TTL为56,Masscan使用原始套接字发包。
扫描策略分析:
顺序扫描: 攻击者按IP或端口顺序遍历(如10.0.0.1→10.0.0.2),蜜罐可记录目标IP分布规律。
拓扑关联: 若扫描流量来自已失陷主机,且目标包含AD域控、数据库服务器等关键资产,可推断攻击者意图。
日志分析示例:
3. 绕过蜜罐的对抗手段与防御设计
攻击者绕过技术:
慢速扫描: 将扫描间隔拉长至小时级,绕过基于频率的检测。
流量伪装: 使用合法协议(如HTTP)封装扫描流量(如将Nmap指令隐藏在HTTP Header中)。
蜜罐识别: 通过响应延迟、服务Banner的版本号(如SSH蜜罐的OpenSSH版本过旧)判断是否为陷阱。
防御策略:
动态响应延迟: 对扫描行为返回真实服务的响应时间(如数据库查询延迟),增加攻击者研判成本。
协议层混淆: 在蜜罐中植入与生产环境一致的Banner信息(如Apache版本号、Windows主机名)。
诱饵文件投放: 在蜜罐文件系统中放置伪装的“敏感文件”(如fake_passwords.xlsx),诱捕攻击者下载并触发告警。
4. 主动防御体系联动
情报共享: 将蜜罐捕获的恶意IP、工具指纹同步至防火墙,实时阻断扫描源。
EDR深度响应: 若蜜罐检测到RDP爆破成功,立即通知EDR终止对应主机的lsass.exe进程并隔离主机。
自动化剧本: 基于SOAR平台,实现「扫描告警→防火墙封禁→威胁情报上传」的全流程自动化。
评价标准:
初级: 能列举常见的扫描特征和蜜罐基础功能。
中级: 可分析攻击者绕过手段,并提出动态防御策略。
高级: 具备跨设备联动的主动防御设计能力,且方案可工程化。