【安全设备】面试

【安全设备】面试

1.安全设备基础问题

ips/ids/蜜罐/waf介绍

ips

对该设备的网络流量进行分析监控，发现攻击后就会进行拦截。IPS是防火墙的重要补充，如果是防火墙是第一道防线，IPS就是第二道防线。

ids

监视记录网络中的各种攻击企图。特点就是记录，不会对攻击行为进行拦截，只能事中检测和时候追查。

蜜罐

部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。

waf

web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。

waf与ips区别/各种蜜罐的区别

waf与ips的区别

与IPS最大的区别在于：WAF是针对于web系统的防护，对于sql xss文件上传 csrf的防护更具有针对性，而IPS的防护面很广

低交互蜜罐，中交互蜜罐，高交互蜜罐的区别

低交互蜜罐最大的特点就是模拟，它的服务都是模拟的行为，数据不够真实。
中交互蜜罐是对真正的操作系统的各种行为的模拟，它提供了更多的交互信息，同时也可以从攻击者的行为中获取更多的信息
高交互蜜罐具有一个真实的操作系统，更加仿真。

了解的厂商硬件安全设备

1- 奇安信的天眼（流量分析和流量监控，并且可以用他的日志检索模块进行溯源。）
2- 奇安信的椒图
3- 绿盟的漏扫设备
4- 微步的蜜罐
5- 深信服的防火墙
6- 深信服的VPN
7- 奇安信的天擎（功能和界面类似于360安全卫士）

2.天眼

天眼日志检索常用的语法

1-  dip      -- 被攻击的ip
2-  dport    -- 被攻击的端口
3-  sip      -- 源ip
4-  sport    -- 源端口
5-  uri      -- 请求的url地址
6-  data     -- 请求包的正文内容
7-  status   -- 响应包的状态码
8-  host     -- 域名

如何判断告警是否是误报？

首先看下此告警，发起攻击的攻击ip是内网ip还是外网ip

1、如果是内网ip，并且告警流量请求包内有明显的恶意请求，比如请求包内有

ipconfig

,

whoami

等，那么此内网服务器即有可能失陷，会把此ip立即上报给研判组人员，让研判组人员对这个ip进行详细的分析；还有就是这个可能是被访问的这个内网系统，本身业务系统存在业务逻辑问题，因为内网所布置的很多业务系统往往不会考虑一些安全性问题，比如在正常的业务逻辑请求中直接带了sql语句，就会触发设备规则产生告警，这一类是属于误报，然后会将此告警上报给研判人员，需要研判组专家和甲方客户确认下是否是该系统存在此业务逻辑问题，并且需要确认告警的源ip在此告警的时间段附近有没有进行操作过。

2、如果是外网ip,那么就主要根据请求包和响应包的数据内容进行对比，比如请求包内有一些恶意语句，比如sql执行语句(select version 等)，那么我会判定此攻击为恶意攻击。

如何处理告警

如果看到内网挖矿告警怎么处理

大部分内网挖矿告警，木马病毒都是基于情报的告警，误报率很大，很有可能是因为内部员工使用大量盗版软件以及盗版系统导致，因此无法准确判断。
但是护网期间此类告警需要谨慎处理，不放过任意一条告警，所以我会将此类告警上报到研判人员处，由研判人员再进行进一步的验证

天眼或者传感器上出现命令执行告警/Webshell告警，怎么应对

1、验证此条告警是否真的成功？（成功的话，直接就可以出报告了）
2、失败的话，判断攻击者是手工还是扫描工具批量行为？
3、进入分析平台进一步分析，查看分析平台攻击IP是否存在其他攻击行为，攻击结果如何？
4、将发现时间及攻击行为反馈给护网客户

是否攻击成功

如果看到一条sql注入告警，怎么判断是否攻击成功

根据请求包和响应包对比进行判断。比如看下请求包内是否有sql语句，如果有sql语句,并且响应包内容有执行成功的回显,那么判定sql注入攻击成功。

如果看到一条命令执行的告警，怎么判断是否攻击成功

根据请求包和响应包进行对比判断，看下请求包内是否有系统命令，比如看下请求包内是否有ipconfig，然后看下响应包回显是否有ip相关的内容，如果有的话说明攻击成功，如果没有，说明攻击未成功，但是确实也还是恶意攻击

如果看到一条xss类型告警，怎么判断是否攻击成功

根据请求包和响应包进行对比判断，看下请求包插入的脚本，在响应包内是否有，当然这样还不能准确判断是否攻击成功，再将响应包的正文复制出来，放到html后缀的文档内，用浏览器打开，看下是否有弹窗之类的。

如果看到ssrf告警，没有明显的回显，怎么判断是否攻击成功

如果能做漏洞验证的话，我会进行复现验证下。如果不能做漏洞验证的话，就查下日志看看他探测的目标有没有流量交互，如果有流量交互的话应当是攻击成功。

如果看到一条文件上传的告警，怎么判断是否攻击成功

根据请求包和响应包进行对比判断。首先看下状态码404的状态码告警可以首先筛掉，着重看下响应包状态码是200和302的状态码的。然后看下请求包内文件名是否是恶意脚本文件名称,请求包正文内容是否包含恶意脚本内容，还有就是观察下响应包