【安全設備】面試

• 1.安全設備基礎問題
• • ips/ids/蜜罐/waf介紹
  • waf與ips區別/各種蜜罐的區別
  • 了解的廠商硬件安全設備
• 2.天眼
• • 天眼日志檢索常用的語法
  • 如何判斷告警是否是誤報？
  • 如何處理告警
  • 是否攻擊成功

1.安全設備基礎問題

ips/ids/蜜罐/waf介紹

ips

對該設備的網絡流量進行分析監控，發現攻擊后就會進行攔截。IPS是防火墻的重要補充，如果是防火墻是第一道防線，IPS就是第二道防線。

ids

監視記錄網絡中的各種攻擊企圖。特點就是記錄，不會對攻擊行為進行攔截，只能事中檢測和時候追查。

蜜罐

部署一些作為誘餌的主機，誘使攻擊方對蜜罐進行過攻擊，對攻擊方的攻擊行為進行捕捉和分析，了解攻擊方使用的工具和方法，從而增強增強真實系統的安全防護能力。

waf

web應用防火墻，專門針對于HTTP和https請求，對客戶端的請求內容進行檢測，確保其合法性和安全性，還會對非法的請求進行及時的阻斷。

waf與ips區別/各種蜜罐的區別

waf與ips的區別

與IPS最大的區別在于：WAF是針對于web系統的防護，對于sql xss文件上傳 csrf的防護更具有針對性，而IPS的防護面很廣

低交互蜜罐，中交互蜜罐，高交互蜜罐的區別

低交互蜜罐最大的特點就是模擬，它的服務都是模擬的行為，數據不夠真實。 中交互蜜罐是對真正的操作系統的各種行為的模擬，它提供了更多的交互信息，同時也可以從攻擊者的行為中獲取更多的信息 高交互蜜罐具有一個真實的操作系統，更加仿真。

了解的廠商硬件安全設備

1- 奇安信的天眼（流量分析和流量監控，并且可以用他的日志檢索模塊進行溯源。） 2- 奇安信的椒圖 3- 綠盟的漏掃設備 4- 微步的蜜罐 5- 深信服的防火墻 6- 深信服的VPN 7- 奇安信的天擎（功能和界面類似于360安全衛士）

---

2.天眼

天眼日志檢索常用的語法

1- dip -- 被攻擊的ip 2- dport -- 被攻擊的端口 3- sip -- 源ip 4- sport -- 源端口 5- uri -- 請求的url地址 6- data -- 請求包的正文內容 7- status -- 響應包的狀態碼 8- host -- 域名

如何判斷告警是否是誤報？

首先看下此告警，發起攻擊的攻擊ip是內網ip還是外網ip

1、如果是內網ip，并且告警流量請求包內有明顯的惡意請求，比如請求包內有ipconfig,whoami等，那么此內網服務器即有可能失陷，會把此ip立即上報給研判組人員，讓研判組人員對這個ip進行詳細的分析；還有就是這個可能是被訪問的這個內網系統，本身業務系統存在業務邏輯問題，因為內網所布置的很多業務系統往往不會考慮一些安全性問題，比如在正常的業務邏輯請求中直接帶了sql語句，就會觸發設備規則產生告警，這一類是屬于誤報，然后會將此告警上報給研判人員，需要研判組專家和甲方客戶確認下是否是該系統存在此業務邏輯問題，并且需要確認告警的源ip在此告警的時間段附近有沒有進行操作過。

2、如果是外網ip,那么就主要根據請求包和響應包的數據內容進行對比，比如請求包內有一些惡意語句，比如sql執行語句(select version 等)，那么我會判定此攻擊為惡意攻擊。

如何處理告警

如果看到內網挖礦告警怎么處理

大部分內網挖礦告警，木馬病毒都是基于情報的告警，誤報率很大，很有可能是因為內部員工使用大量盜版軟件以及盜版系統導致，因此無法準確判斷。
但是護網期間此類告警需要謹慎處理，不放過任意一條告警，所以我會將此類告警上報到研判人員處，由研判人員再進行進一步的驗證

天眼或者傳感器上出現命令執行告警/Webshell告警，怎么應對

1、驗證此條告警是否真的成功？（成功的話，直接就可以出報告了）
2、失敗的話，判斷攻擊者是手工還是掃描工具批量行為？
3、進入分析平臺進一步分析，查看分析平臺攻擊IP是否存在其他攻擊行為，攻擊結果如何？
4、將發現時間及攻擊行為反饋給護網客戶

是否攻擊成功

如果看到一條sql注入告警，怎么判斷是否攻擊成功

根據請求包和響應包對比進行判斷。比如看下請求包內是否有sql語句，如果有sql語句,并且響應包內容有執行成功的回顯,那么判定sql注入攻擊成功。

如果看到一條命令執行的告警，怎么判斷是否攻擊成功

根據請求包和響應包進行對比判斷，看下請求包內是否有系統命令，比如看下請求包內是否有ipconfig，然后看下響應包回顯是否有ip相關的內容，如果有的話說明攻擊成功，如果沒有，說明攻擊未成功，但是確實也還是惡意攻擊

如果看到一條xss類型告警，怎么判斷是否攻擊成功

根據請求包和響應包進行對比判斷，看下請求包插入的腳本，在響應包內是否有，當然這樣還不能準確判斷是否攻擊成功，再將響應包的正文復制出來，放到html后綴的文檔內，用瀏覽器打開，看下是否有彈窗之類的。

如果看到ssrf告警，沒有明顯的回顯，怎么判斷是否攻擊成功

如果能做漏洞驗證的話，我會進行復現驗證下。如果不能做漏洞驗證的話，就查下日志看看他探測的目標有沒有流量交互，如果有流量交互的話應當是攻擊成功。

如果看到一條文件上傳的告警，怎么判斷是否攻擊成功

根據請求包和響應包進行對比判斷。首先看下狀態碼404的狀態碼告警可以首先篩掉，著重看下響應包狀態碼是200和302的狀態碼的。然后看下請求包內文件名是否是惡意腳本文件名稱,請求包正文內容是否包含惡意腳本內容，還有就是觀察下響應包

總結

以上是生活随笔為你收集整理的【安全设备】面试的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。