应急响应复现

最新推荐文章于 2025-11-15 02:24:16 发布

原创最新推荐文章于 2025-11-15 02:24:16 发布 · 637 阅读

CC 4.0 BY-SA版权

文章标签：

一、前言：当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

二、常见的应急响应事件分类：

场景类别	示例	测试重点
网络攻击	Webshell入侵、弱口令爆破、DDoS攻击	检测与溯源能力、隔离与封堵
恶意软件	勒索病毒、木马投递	杀毒/EDR响应速度、数据备份与恢复
内部威胁	员工泄露敏感数据、违规操作	权限管控、审计日志、溯源能力
系统故障	数据库宕机、磁盘满	业务切换、故障恢复时间
数据泄露	敏感数据外传	数据发现、防泄漏措施

三、测试方式

桌面演练（Tabletop Exercise）
团队在会议室模拟事件场景，按流程推演响应步骤，适合低成本验证流程。
红队/蓝队对抗演练
红队模拟攻击，蓝队响应处置，真实检验检测与防御能力。
渗透测试+应急演练
在受控环境中实施实际入侵行为，验证监控告警与处置效率。
突发告警演练
人为制造告警（如模拟木马文件出现），观察安全团队反应速度。

四、linux高频访问 IP 监控与封禁：

#!/bin/bash
# 日志文件路径
logfile=/var/test
last_minutes=1 
# 开始时间1分钟之前（这里可以修改,如果要几分钟之内攻击次数多少次，这里可以自定义）
start_time=`date -d"$last_minutes minutes ago" +"%d/%m/%Y:%H:%M:%S"`
echo $start_time
# 结束时间现在
stop_time=`date +"%d/%m/%Y:%H:%M:%S"`
echo $stop_time
cur_date="`date +%d/%m/%Y`"
echo $cur_date
# 过滤出单位之间内的日志并统计最高ip数，请替换为你的日志路径
tac $logfile/access.log | awk -v st="$start_time" -v et="$stop_time" '{t=substr($4,2);if(t>=st && t<=et){print $1}}' |sort | uniq -c | sort -nr > $logfile/log_ip_top10
#ip_top=`cat $logfile/log_ip_top10 | head -1 | awk '{print $1}'`
# 出现横杠使用sed去掉第一行
#sed -i '1d' $logfile/log_ip_top10    
# 单位时间[1分钟]内单ip访问次数超过200次的ip记录入black.txt
ip=`cat $logfile/log_ip_top10 | awk '{if($1 > 100)print $2}'`
for line in $ip
do
echo $line >> $logfile/getip.txt
echo $line
iptables -I INPUT -p tcp  -m multiport --dport 80,443 -s $line -j DROP
done