超级会员免费看
本文是对一次HVV面试的复盘,涉及问题包括如何判断危险流量是业务还是攻击、Webshell工具如菜刀、蚁剑、冰蝎和哥斯拉的流量特征、MySQL UDF提权及其利用条件。面试者通过分析流量来源、频率和告警特征,以及对Webshell工具的深入理解,展示了网络安全领域的专业技能。
【面试复盘】四川准达 HVV
1.参加过HW吗?当时的单位
- 市级hw,监测岗,单位是本地的一个云计算中心
- 国家hw,监测岗,单位保密
2.目前有一个危险流量告警,怎么判断是业务还是攻击的流量?
- 和安服人员进行交涉,问一下他们有没有在告警时间范围内做渗透测试
- 检查流量的来源IP地址。如果流量来自已知的合法业务伙伴或用户,可能是合法的业务流量。如果流量来自未知或可疑的IP地址(具体可以在微步社区里面查询),可能是攻击者发起的流量
- 观察流量的频率和突发性。正常的业务流量通常具有一定的规律和稳定性,而攻击流量可能会表现出异常的高频率或突发性
至于查看告警是否为误报:
首先看下此告警,发起攻击的攻击ip是内网ip还是外网ip
私有 IP 网段有很多,常见的有:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
