护网行动需要什么知识（护网行动蓝队做哪些准备）

指纹识别

人的皮肤由表皮、真皮和皮下组织三部分组成。指纹就是表皮上突起的纹线。由于人的遗传特性。虽然指纹人人皆有，但各不相同。

在互联网数字资产管理中，数字资产指纹就是数字资产的“身份证”，也是信息系统安全管理工作的基础。通过网络资产探测（指纹）可以在0day 爆发时快速匹配到受影响的信息系统；还可以发现违规开放的资产，为安全运营管理提供便利，确保安全制度的稳健实施。指纹识别更是基线管理的基础，正如生物指纹对于生物的价值一样，数字资产指纹识别也在数字资产管理中起到了至关重要的作用。所以，不论对于攻击方还是防守方，数字资产的指纹信息的收集都是非常重要的。

目前常规的指纹识别技术主要分为两种：一种是针对HTTP的指纹识别，通过对URL请求得到的各种响应信息进行特征匹配，从而判断指纹；另一种是针对TCP/IP协议栈的指纹识别，我们可以通过向对方发送一系列精心设计的报文，分析对方响应，从而判断指纹。

指定URL的关键字

http://www.wappalyzer.com/

Wapplyzer是基于正则表达式来识别web应用的，它是一个浏览器的插件形式存在的。

http://github.com/urbanadventurer/WhatWeb

WhatWeb可以用来确定服务器使用的CMS、博客平台、统计分析软件包、JavaScript库等。

http://github.com/s7ckTeam/Glass

Glass是一款针对资产列表的快速指纹识别工具，通过调用Fofa/ZoomEye/Shodan/360等api接口快速查询资产信息并识别重点资产的指纹，也可针对IP/IP段或资产列表进行快速的指纹识别。

http://github.com/EdgeSecurityTeam/EHole

EHole是一款对资产中重点系统指纹识别的工具。EHole(棱洞)2.0提供了两种指纹识别方式，可从本地读取识别，也可以从FOFA进行批量调用API识别(需要FOFA密钥)，同时支持结果JSON格式输出。

http://www.yunsee.cn/

http://fp.shuziguanxing.com/

http://finger.tidesec.net/

常用服务/协议简介

SSH 服务

SSH 是 Secure Shell Protocol 的简写，由 IETF 网络工作小组（Network Working Group )制定；在进行数据传输之前，SSH先对联机数据包通过加密技术进行加密处理，加密后在进行数据传输。确保了传递的数据安全。利用 SSH 协议可以有效的防止远程管理过程中的信息泄露问题，在当前的生产环境运维工作中，绝大多数企业普遍采用SSH协议服务来代替传统的不安全的远程联机服务软件，如telnet(23端口，非加密的)等。

在默认状态下，SSH服务主要提供两个服务功能：

1. 一是提供类似telnet远程联机服务器的服务，即上面提到的SSH服务。

2. 另一个是类似FTP服务的sftp-server,借助SSH协议来传输数据的.提供更安全的SFTP服务(vsftp，proftp)。

默认端口：22

FTP服务

FTP为文件传输协议，通常用作对远程服务器进行管理，典型的使用就是对web系统进行管理。一旦FTP密码泄露就直接威胁web系统安全，甚至黑客通过提权可以直接控制服务器. ftp配置一般分为两种配置方式，第一种是使用系统软件来配置，第二种是通过第三方软件来配置。

默认端口：20（数据端口）；21（控制端口）；

NFS 服务

NFS（Network File System）即网络文件系统，是FreeBSD支持的文件系统中的一种，它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中，本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能，但遗留系统中的NFS服务配置不当，则仍可能遭到恶意攻击者的利用。

默认端口：2049(TCP)

Telnet 服务

Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。

默认端口：23

Samba服务

Samba是linux和unix系统上实现SMB/CIFS协议的一个免费软件，由服务器和客户端程序构成。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。

默认端口：445 (TCP)

Windows远程桌面连接

远程桌面是提供的一种远程控制功能.通过它我们能够连接远程计算机，访问它的所有应用程序、文件和网络资源，实现实时操作，如在上面安装软件、运行程序、排查故障等。好像你正坐在那台计算机前面一样．不论实际距离有多远。

默认端口：3389

DHCP服务

DHCP(动态主机配置协议)是一个局域网的网络协议，使用Udp协议工作，给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的目的。

默认端口：67（Udp）、68（Udp）

Tips：客户端属向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。

DNS服务

DNS是“域名系统”的英文缩写，是一种组织成域层次结构的计算机和网络服务命名系统，使用的是UDP协议的53号端口，它用于TCP/IP网络，它所提供的服务是用来将主机名和域名转换为IP地址的工作。

默认端口：53

VNC服务

VNC（Virtual Network Computing），为一种使用RFB协议的显示屏画面分享及远程操作软件。此软件借由网络，可发送键盘与鼠标的动作及即时的显示屏画面。

默认端口：5900 桌面ID（5901；5902）

SMTP协议

SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务，主要用于系统之间的邮件信息传递，并提供有关来信的通知。

默认端口：25（smtp）、465（smtps）

POP3协议

本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。

默认端口：109（POP2）、110（POP3）、995（POP3S）

IMAP协议

MAP以前称作交互邮件访问协议，是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息，下载邮件等。

默认端口：143（imap）、993（imaps）

SNMP协议

简单网络管理协议（SNMP）是专门设计用于在IP 网络管理网络节点（服务器、工作站、路由器、交换机及HUBS等）的一种标准协议，它是一种应用层协议。

默认端口：161

rsync服务

rsync是linux系统下的数据镜像备份工具。使用快速增量备份工具Remote Sync可以远程同步，支持本地复制，或者与其他SSH、rsync主机同步。

默认端口：873

常见端口/服务漏洞列表汇总

重要精华都放在后面

护网红队作战手册http://cloud.tencent.com/developer/article/1647861从攻击者角度解读防护思路http://www.77169.net/html/256393.html红蓝对抗浅谈http://he1m4n6a.github.io/2020/04/30/红蓝对抗浅谈/一.安全意识护网行动及注意事项http://www.jianshu.com/p/bd16e0b1bf95二.自我排查资产收集安全护网前信息收集http://www.jianshu.com/p/0a26d9c98ef7安全护网前信息收集http://blog.csdn.net/Chenamao/article/details/107675331企业安全之做好这三点，护网没在怕！http://www.cnblogs.com/Security-X/p/11245237.html全流程信息收集方法总结http://www.freebuf.com/articles/database/195169.html安全加固护网行动，2020年具体防护措施http://blog.csdn.net/panshi5188/article/details/108594514Windows安全加固手册http://www.cnblogs.com/skkip/p/10040743.htmlLinux安全加固手册http://www.cnblogs.com/skkip/p/10074096.html三.安全运营我理解的安全运营http://zhuanlan.zhihu.com/p/39467201安全运营三部曲：概念篇http://www.secrss.com/articles/14225

安全运营三部曲：安全响应中心与企业文化http://www.secrss.com/articles/14453

安全运营三部曲：安全生态与运营国际接轨http://www.secrss.com/articles/15416

从运营角度看安全团队的成长http://www.secrss.com/articles/17524

认识安全设备http://zhuanlan.zhihu.com/p/37304834WAF如何配置http://help.aliyun.com/document_detail/85047.html?spm=a2c4g.11186623.6.641.4553daa6j9BszL以攻促防：企业蓝军建设思考(甲方可参考,项目经理/安全顾问可参考)作者：[TSRC &腾讯蓝军]Mark4z5(小五)http://security.tencent.com/index.php/blog/msg/133

网络安全实战攻防演练丨防守方案经验分享（厂商视角）http://m.k.sohu.com/d/512435641?channelId=13557&page=1

护网Linux应急处置操作手册-Tools篇http://cloud.tencent.com/developer/article/1706274护网之Linux应急处理操作手册http://www.bugfor.com/vuls/6751.html

应急响应总结http://he1m4n6a.github.io/2020/03/30/应急响应总结/

四.日志分析CTF-MISC-日志分析

http://www.jianshu.com/p/bb5b4c31f4f5

流量分析网络流量数据包分析工具Brimhttp://www.sohu.com/a/387864935_490113流量分析在安全攻防上的探索实践http://www.secrss.com/articles/18924日志审计系统的基本原理与部署方式http://blog.csdn.net/qq_38265137/article/details/106790419企业安全日志分析系统建设http://www.secrss.com/articles/3082五.溯源安全分析–追踪溯源的找人思路http://www.cnblogs.com/KevinGeorge/p/8402190.html

浅谈攻击溯源的一些常见思路http://blog.csdn.net/momo_sleet/article/details/95737288

调查Web应用攻击事件：如何通过服务器日志文件追踪攻击者http://www.anquanke.com/post/id/86391蓝队实战溯源反制手册分享 来源于TimelineSec，作者璠淳http://www.77169.net/html/267618.html追踪邮件发送者的地理位置 SilentAssassinhttp://blog.csdn.net/yao5hed/article/details/81050422红蓝演习对抗之溯源篇 nini_boomhttp://blog.csdn.net/nini_boom/article/details/106578723

安全攻击溯源思路及案例http://www.cnblogs.com/xiaozi/p/13817637.html攻击溯源手段http://www.eumz.com/2020-09/2000.html红蓝对抗中的溯源反制实战http://www.secrss.com/articles/27611红蓝对抗-反制http://blog.csdn.net/qq_41874930/article/details/110178462六.汇报机制HW总结报告模板之一http://www.eumz.com/2020-09/2058.html

HW总结报告模板之二http://www.eumz.com/2020-09/2054.html七.总结篇2020护网期间公布漏洞总结-附部分漏洞Poc,Exphttp://cloud.tencent.com/developer/article/17643242020hw漏洞汇总http://www.saltor.cn/posts/712019护网行动防守总结http://www.liuhaihua.cn/archives/690787.html关于HW护网行动的一些知识（厂商/销售/售前视角）http://www.pianshen.com/article/16881740503/我眼中的云护网http://www.4hou.com/posts/Lnnv护网演习,攻与防的总结http://www.freebuf.com/column/237828.html红蓝对抗的一些感想http://blog.csdn.net/nini_boom/article/details/106749452

一次攻防实战演习复盘总结很详细http://nosec.org/home/detail/2673.html近些年的护网行动都有哪些骚操作？http://www.geekmeta.com/article/1855725.html从资产梳理到内网横向渗透，网络安全红蓝对抗“防坑”总结http://www.sohu.com/a/359379551_472906攻防演练实战中的若干Tipshttp://www.ershicimi.com/p/59ad52c5a817ae89f9fcf2ab1c8f10bc我的hw2019总结 本文作者： M09ic

http://m09ic.top/posts/44974/

实践分享|红队视角下的防御体系突破 来源:奇安信安全服务http://cn-sec.com/archives/145972.html护网行动防守小总结http://my.oschina.net/u/4290910/blog/4501175移动端http://www.sohu.com/a/236572713_7441352020年“护网行动”红方漏洞利用总结-1http://www.cxthhhhh.com/2020/09/18/summary-of-red-vulnerability-utilization-of-network-protection-action-in-2020-1.html蓝队视角下的“HVV利剑”-钓鱼攻击案例分享与总结http://cloud.tencent.com/developer/article/1777977八.其他项目windows提权项目合集该项目是Windows特权提升项目。除了未通过测试的EXP之外，还有详细的说明和演示GIF图片。http://github.com/Ascotbe/Kernelhubhttp://github.com/fabacab/awesome-cybersecurity-blueteam