蓝队(Blue Team)防护技能详解 前言面向对象网络安全专业学生 / 红蓝对抗备赛 内容涵盖流量分析、日志分析、应急响应、威胁情报、主机排查、SIEM运营、ATTCK应用、系统加固 每个模块均附实操示例可结合靶场直接练习目录蓝队工作总览流量分析日志分析主机排查与取证应急响应完整流程威胁情报应用SIEM/态势感知平台操作MITRE ATTCK 框架应用系统与网络加固常用工具清单实战练习资源备赛检查清单一、蓝队工作总览蓝队的核心工作可以归纳为一个闭环预防加固 → 检测监控/告警 → 分析研判 → 响应处置 → 复盘总结改进↑___________________________________________________________|在HW护网、AWD比赛中蓝队的价值不在于“零漏洞”几乎不可能而在于 -发现得够早缩短攻击者驻留时间 -响应得够快缩小影响范围 -记录得够全支撑复盘和溯源二、流量分析2.1 核心工具工具用途Wireshark离线/实时深度包分析提供图形化界面tcpdump命令行抓包工具适合服务器远程操作Suricata / Snort基于规则的实时入侵检测系统NetworkMiner从流量中直接提取文件、凭据、会话等信息Zeek原Bro生成结构化流量日志便于大规模分析2.2 必会的 Wireshark 过滤语法#筛选某IP的所有流量ip.addr 192.168.1.100#筛选HTTP POST请求常用于定位数据提交/Webshell交互http.request.method POST#筛选可能的端口扫描大量SYN无ACKtcp.flags.syn 1tcp.flags.ack 0#筛选DNS查询中包含特定关键字怀疑DNS隧道/C2域名dns.qry.name containsevil#筛选异常长度的DNS请求DNS隧道特征之一dns.qry.name.len50#筛选可能的SQL注入特征http.request.uri containsunionor http.request.uri containsselect#追踪某个会话的完整对话内容右键数据包 → Follow → TCP Stream2.3 典型攻击流量特征对照表攻击类型流量特征处置方向端口/主机扫描短时间大量SYN包发往多端口/多IP握手不完整封禁源IP加固对应端口服务Web目录扫描大量404请求后突现200/403路径含admin、manage、.git等加WAF规则隐藏敏感路径SQL注入URL/Body含union select、 or 11--、sleep(5)等定位涉事参数加过滤规则检查数据库日志Webshell交互POST请求体经过编码/加密UA正常但请求频率/路径异常定位落地文件隔离查杀DNS隧道高频、超长子域名查询查询目标域名信誉差阻断对应域名解析排查发起主机内网横向内部IP间大量445(SMB)/3389(RDP)/135/139端口连接隔离源主机检查是否已获取域内凭据C2心跳通信固定周期的小流量外连目标IP在威胁情报中标记为恶意阻断外联本机排查驻留进程2.4 实战示例识别一次SQL注入攻击流量假设在Wireshark中过滤出如下HTTP请求GET /product.php?id1 UNION SELECT username,password FROM users-- HTTP/1.1Host: target.comUser-Agent: sqlmap/1.7分析要点1. UA字段直接暴露为sqlmap说明使用了自动化注入工具真实攻击者常会伪造UA需结合行为综合判断 2. URL参数id处存在明显的UNION SELECT注入语句目标是获取用户表的账号密码 3. 结合前后请求包观察是否存在报错回显决定是报错注入还是盲注处置建议- 立即在WAF/Nginx层面对该参数增加过滤规则 - 检查数据库慢查询日志确认是否真的执行了UNION SELECT语句 - 排查该源IP是否还有其他攻击行为横向关联三、日志分析3.1 日志类型与关键字段Web访问日志Nginx/Apache192.168.1.50 - - [12/Jun/2026:14:05:30 0800] POST /upload.php HTTP/1.1 200 512 - Mozilla/5.0关注字段来源IP、时间、请求方法、URL、状态码、返回大小、UA、Referer可疑特征- 高频访问敏感路径/admin、/manage、/upload - 大量404之后突然200说明扫描后命中路径 - URL/参数中含明显payload../../、script、select、exec - UA为扫描工具默认特征sqlmap、nikto、Nessus、御剑等Windows事件日志关键Event IDEvent ID含义蓝队关注点4624登录成功结合登录类型Type 3网络/Type 10远程桌面判断是否异常4625登录失败短时间大量出现 爆破特征4672特殊权限登录管理员排查是否为非常规账号获得高权限4688新进程创建排查是否有可疑命令行如powershell -enc编码命令4720创建新账号检查是否为攻击者留下的后门账号4732账号加入某安全组排查权限提升行为1102安全日志被清除高度可疑攻击者常在清痕迹时触发Linux日志/var/log/auth.log#或 /var/log/secureSSH登录/sudo记录/var/log/syslog#系统级日志/var/log/cron#计划任务执行记录3.2 实战命令快速定位SSH爆破#统计SSH登录失败次数最多的IPgrepFailed password/var/log/auth.log|awk{print $(NF-3)}|sort|uniq-c|sort-nr|head-10#输出示例# 1024 203.0.113.55# 312 198.51.100.20#确认这些IP是否有成功登录一旦有说明爆破成功需立即处置grepAccepted password/var/log/auth.log|grep203.0.113.553.3 实战示例还原一次入侵的时间线结合Web日志、系统日志、流量日志三方数据还原完整攻击链条14:02:15 攻击者对 /admin 目录发起扫描access.log大量40414:05:30 发现 /upload.php 文件上传接口存在漏洞access.log 200状态码14:06:02 上传文件 shell.jspaccess.log记录POST文件名可疑14:06:10 访问 shell.jsp 并执行命令Windows 4688记录cmd.exe被tomcat8.exe进程拉起14:08:45 尝试创建新账号 backdoor$Windows 4720事件触发14:10:00 向内网 445 端口发起扫描流量日志异常连接激增14:15:00 安全日志被清除Windows 1102事件——攻击者试图清痕迹这种时间线是应急响应报告的核心内容也是复盘和溯源的关键证据链。3.4 日志分析平台ELKElasticsearch Logstash Kibana集中化日志存储与可视化查询适合大规模日志场景Splunk商业SIEM平台查询语言强大SPLLog ParserWindows用SQL语法查询Windows事件日志适合本地快速排查四、主机排查与取证4.1 Webshell 排查#查找近期修改/新增的可疑文件按时间线索find/var/www-typef\(-name*.php-o-name*.jsp\)-mtime-3#查找包含高危函数的文件PHP Webshell常见特征grep-rleval(\|assert(\|base64_decode(\|system(\|shell_exec(/var/www--include*.php辅助工具- D盾_Web查杀Windows下常用 - 河马Webshell查杀 - 天蝎Webshell检测4.2 异常进程排查Linuxpsaux--sort-%cpu|head-20#按CPU占用排序找异常高占用进程netstat-antp|grepESTABLISHED#查看已建立的外联连接ls-la/proc/PID/exe#定位可疑进程的真实执行文件路径Windowstasklist/svc#查看进程与关联服务netstat-ano#查看网络连接及对应PIDwmicprocesswhereProcessIdPIDget CommandLine#查看进程完整启动命令4.3 持久化机制排查攻击者常见驻留手法系统排查点Windows注册表Run/RunOnce键、计划任务schtasks /query、服务services.msc、WMI事件订阅、隐藏账号用户名以$结尾Linuxcrontab -l、/etc/rc.local、~/.ssh/authorized_keys是否被植入攻击者公钥、systemd自定义服务/etc/systemd/system/示例排查Linux下的隐藏定时任务后门#检查所有用户的crontabforuserin$(cut-f1-d:/etc/passwd);docrontab-u$user-l2/dev/null;done#检查系统级定时任务目录cat/etc/crontabls-la/etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/4.4 内存取证对于疑似高级持续性攻击尤其是无文件攻击/内存马需要在不关机的前提下先做内存镜像# Linux使用 LiME生成内存镜像insmod lime.kopath/tmp/mem.lime formatlime再用Volatility分析volatility-fmem.lime--profileLinuxUbuntu_x64 linux_pslist#列出进程volatility-fmem.lime--profileLinuxUbuntu_x64 linux_netstat#查看网络连接五、应急响应完整流程5.1 PDCERF 模型准备(Preparation) → 检测(Detection) → 抑制(Containment)→ 根除(Eradication) → 恢复(Recovery) → 复盘(Follow-up)5.2 详细步骤第一步确认与信息收集- 排除误报确认是否为真实入侵 - 收集受影响主机的系统版本、开放服务、网络位置第二步抑制- 优先隔离而非直接关机关机会丢失内存中的攻击痕迹 - 可先做内存镜像再断网隔离物理断网或防火墙策略隔离第三步根除- 清除Webshell、恶意进程、后门账号、持久化项 -修补漏洞根因这一步最容易被忽视不修根因会被反复打入 - 全面修改可能泄露的密码/密钥第四步恢复- 加固后重新上线持续监控一段观察期如72小时 - 分批恢复业务避免一次性全开放导致二次入侵第五步复盘- 撰写应急响应报告时间线、入口点、影响范围、处置措施、改进建议5.3 应急响应报告模板简化版##事件概述-发现时间-受影响系统-事件等级##攻击时间线按时间顺序列出关键节点##入侵路径分析-入口漏洞-利用方式-横向移动情况##处置措施-已采取的抑制/根除动作##根因与改进建议-漏洞根因-长期加固建议六、威胁情报应用威胁情报可以帮助快速判断“这个IP/域名/文件是不是已知的恶意资产”节省大量排查时间。常用平台- 微步在线X情报社区IP/域名/文件Hash查询 - 奇安信威胁情报中心 - VirusTotal文件Hash多引擎查杀比对使用场景示例发现某外联IP 45.xx.xx.xx先查威胁情报平台若显示“关联APT组织C2基础设施”则可直接判定为高危无需再花时间人工分析该IP的历史行为可直接进入抑制流程。七、SIEM/态势感知平台操作7.1 核心能力多源日志集中采集Web、系统、网络设备、安全设备关联分析跨日志源自动关联攻击链可视化大屏与告警工单7.2 蓝队在SIEM中的日常工作重点告警研判区分真实攻击与误报实战中告警量往往是海量级别误报率高规则调优根据实际环境不断优化检测规则减少误报、避免漏报仪表盘监控值守期间持续关注实时攻击态势大屏7.3 简单的告警研判思路示例收到告警“某IP对Web服务器发起大量请求” 1. 查看请求路径是否为正常业务路径还是敏感路径扫描 2. 查看该IP历史行为是否为已知的爬虫/监控探测IP 3. 查询威胁情报是否为恶意IP 4. 综合判断后打上标签误报/低危 /需要跟进八、MITRE ATTCK 框架应用ATTCK 是把攻击者的战术Tactics、技术Techniques、程序Procedures系统化的知识框架蓝队用它来建立检测覆盖地图明确“我方对哪些攻击技术有检测能力哪些是盲区”辅助研判发现某行为后可以在ATTCK矩阵中定位对应技术编号快速联想攻击者后续可能的动作示例阶段ATTCK战术对应技术示例检测点初始访问Initial Access利用Web应用漏洞T1190Web日志异常请求执行Execution命令行/脚本执行T10594688进程创建日志持久化Persistence计划任务T1053计划任务列表核查权限提升Privilege Escalation利用漏洞提权T1068异常权限变更日志防御绕过Defense Evasion清除日志T10701102日志清除事件横向移动Lateral Movement哈希传递攻击T1550内网445/3389异常连接九、系统与网络加固事前防御9.1 通用加固清单☐ 所有系统/中间件打最新安全补丁☐ 关闭不必要的端口和服务☐ 排查并修改所有弱口令系统、数据库、中间件后台☐ Web应用敏感目录做访问控制或隐藏☐ 禁用高危协议如非必要的SMBv1☐ 数据库、中间件不使用默认端口/默认账号☐ 部署WAF并配置合理规则☐ 关键系统日志集中采集设置合理保留周期☐ 制定应急预案明确响应分工9.2 常见弱口令排查示例#使用hydra对自己的靶机做弱口令自查仅限授权环境hydra-Lusers.txt-Ppasswords.txt ssh://192.168.1.10注意任何弱口令扫描、渗透测试动作都必须在授权环境内进行。十、常用工具清单汇总分类工具流量分析Wireshark、tcpdump、Suricata、Zeek、NetworkMiner日志分析ELK、Splunk、Log Parser、grep/awk/sedWebshell查杀D盾、河马、天蝎进程/网络排查Process Explorer、PCHunter、火绒剑、netstat内存取证Volatility、LiME、Redline威胁情报微步在线、奇安信威胁情报中心、VirusTotal漏洞自查Nessus、OpenVAS十一、实战练习资源流量分析malware-traffic-analysis.net大量真实恶意流量pcap题解公认最佳练习资源CTF/Misc方向buuctf、攻防世界练习日志分析、流量分析类题目靶场搭建Vulhub现成CVE漏洞环境自己打自己再练应急响应排查HW复盘文章关注安全厂商公众号发布的护网复盘Writeup学习真实案例的分析思路ATTCK学习MITRE ATTCK官网矩阵配合实际攻击案例做映射练习十二、备赛检查清单☐ 能熟练用Wireshark定位常见攻击流量特征☐ 能独立完成Windows/Linux日志的攻击时间线还原☐ 熟悉Webshell查杀工具的使用☐ 能独立完成一次完整的应急响应演练从发现到出报告☐ 了解ATTCK矩阵的基本战术分类☐ 准备好个人应急响应排查脚本/工具包☐ 与团队完成至少一次模拟攻防演练明确分工本文档可作为备赛复习资料建议结合实际靶场操作反复练习形成肌肉记忆。