鹿鸣天涯

端口检测看似简单，但要做到精通并不容易。从基础的netstat到高级的nmap，从单机检测到自动化监控，每一个工具都有其独特的价值。在我的运维实践中，这些工具的组合使用帮我快速定位了无数问题，也避免了许多安全风险。希望这篇文章能成为你端口管理路上的实用指南。在网络安全的世界里，了解自己开放了哪些端口，就是掌握了第一道防线的主动权。#Port。

当WannaCry勒索病毒席卷全球的黑暗时刻，某大型企业的运维主管老张彻夜未眠。当安全团队束手无策时，他凭借对SMB协议漏洞的深刻理解，迅速隔离感染主机并找到未打补丁的系统源头，最终在48小时内恢复了核心业务。公司高层惊叹：”原来我们的运维是隐藏的安全高手！网络攻击已成为企业生存发展的最大威胁之一。作为守护企业数字资产的第一道防线，IT运维工程师对常见攻击手段的认知深度，直接决定了组织的安全水位。本文将系统梳理30种最为常见且危害巨大的网络攻击类型，涵盖从基础攻击到高级威胁。

防护效果评估分析重保期间安全措施的有效性，评估投入产出比攻击模式总结归纳攻击者采用的战术、技术和程序(TTPs)，完善威胁情报库漏洞整改验证对前期发现的安全漏洞整改情况进行复核验证，确保彻底修复本方案通过系统化的前期准备、实时化的中期监控和全面化的后期总结，构建了全过程、多层次的重保服务体系。该方案不仅适用于重大活动期间的网络安全保障，其理念和方法也可用于日常网络安全建设工作，有助于全面提升网络安全防护能力，为数字化时代的网络安全保障提供坚实支撑。

网络实战攻防演习是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。网络实战攻防演习通常是以实际运行的信息系统为攻击目标，通过在一定规则限定下的实战攻防对抗行为，最大限度地模拟真实的网络攻击，并以此来检验目标信息系统的实际安全防护能力和运维保障的有效性。

MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一个全球广泛认可的网络攻击技术知识库，详细记录了攻击者在不同阶段使用的策略和技术。通过将Kali Linux的工具菜单与ATT&CK框架对齐，开发团队让用户能够根据攻击链的不同阶段（如初始访问、执行、持久化、权限提升等）快速定位所需工具。这种设计不仅提高了工具查找的效率，还让红队和蓝队在实际操作中能够更好地模拟和防御真实世界的网络攻击。

防火墙是一种网络安全系统，它监控和控制进出电脑网络的数据传输。Windows操作系统提供了内置的防火墙功能，以保护用户免受未经授权的访问和网络攻击。在需要进行特定网络活动时，关闭防火墙可能是必要的。

但在日常工作中，企业的安全建设不仅仅是安全产品和技术的堆叠，更需要考虑安全与业务的平衡、安全资源的有效整合，以及如何使有限的投入发挥最大的价值 (如图1所示)。通过安全运营建设，将攻防演习启动、备战、演练、保障、总结阶段的工作落实到常态化规划、建设、运营，并通过统一和协调企业的技术工具、人员能力、流程规范，对企业在实战期间及日常面临的安全风险进行识别、防御、检测、响应、恢复等全方位的安全运营防护，持续提升威胁感知和事件响应能力，降低威胁处置时间以及企业面临的安全风险，实现可持续安全运营保障。

通过攻防演练，企业不仅能够测试自身防护体系的强度，还能够识别隐藏在系统中的安全隐患，从而提升整体安全水平。快速变化的攻击手法：网络攻击手段日新月异，尤其是随着高级持续性威胁（APT）和勒索病毒的复杂化，企业的传统防护手段往往难以应对。在此过程中，红队通过模拟真实的攻击，尝试突破防线，而蓝队则通过实时监控和防御，保护网络不受侵害。先进的攻防技术：随着技术的不断发展，现代企业已经能够采用先进的网络安全工具和技术，如人工智能（AI）、机器学习（ML）在威胁检测中的应用，以及自动化响应系统（SOAR）等。

然而，由于安全厂商和企业间的业务关系的本质，安全厂商的销售人员通常从自家产品和业务的角度去宣传，这些因素通常导致蓝队的防御体系呈现一定的技术碎片化，防御阵地分裂化的特征。从国际上来看，美国从2010年成立网络司令部并在2006年开始每2年组织一次代号为“网络风暴”的网络军事演习，北约也有锁定轮排的网络安全演习，从2002年开始实行，我国从2014年开始，建立中央网络安全和信息化领导小组，2016年发布国家网络空间发展战略，同年在国家有关的监督机构的推动下推行开展全国性的网络实战攻防演练。

作为IT工程师，处理Nginx漏洞需要系统性的方法。

红方掌握蓝方用户网络规模、主机系统类型、服务开放情况后，将会使用Metasploit或手工等方式展开针对性的攻击与漏洞测试，其中包含：各种Web应用系统漏洞，中间件漏洞，系统、应用、组件远程代码执行漏等，同时也会使用Hydra等工具对各种服务、中间件、系统的口令进行常用弱口令测试，最终通过技术手段获得主机系统或组件权限。我们认为站在红队的角度来说，任何网络安全保障任务都会通过安全检测的技术手段从寻找问题的角度出发，发现系统安全漏洞，寻找系统、网络存在的短板缺陷。省级大概在2周左右，再低级的就是一周左右。

服务器排查与加固服务是针对企业核心信息资产（服务器）的全方位安全保障方案，旨在通过系统性排查潜在风险、修复漏洞、优化配置，提升服务器抗攻击能力，确保业务连续性和数据安全性。该服务覆盖硬件、操作系统、网络、应用、数据及合规性等多个维度，适用于各类行业（如金融、医疗、政务、电商等）的服务器环境。

在渗透测试中，有三个非常经典的渗透测试框架----Metasploit、Empire、Cobalt Strike。那么，通过漏洞获取到目标主机权限后，如何利用框架获得持久性权限呢？

IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。一般情况下攻击者使用FTP上传文件需要很多交互的步骤，下面这个 bash脚本，考虑到了交互的情况，可以直接执行并不会产生交互动作。第一种，远程下载文件到本地，然后再执行；本文收集了15种常见的文件下载执行的方式，并结合具体案例**，让我们一起来看看是怎么实现的吧。

HFish具有超过40种蜜罐环境、提供免费的云蜜网、可高度自定义的蜜饵能力、一键部署、跨平台多架构、国产操作系统和CPU支持、极低的性能要求、邮件/syslog/webhook/企业微信/钉钉/飞书告警等多项特性，帮助用户降低运维成本，提升运营效率。实系统蜜罐是最真实的蜜罐，它运行着真实的系统，并且带着真实可入侵的漏洞，这样的蜜罐很快就能吸引到目标进行攻击，系统运行着的记录程序会记下入侵者的一举一动，但同时它也是最危险的，因为入侵者每一个入侵都会引起系统真实的反应，例如被溢出、渗透、夺取权限等。

序列化是指将对象状态转换为可以存储或传输的形式的过程，而反序列化是指将已序列化的对象状态恢复为Java对象的过程。为了防范NTLM Relay攻击，微软在后续的Windows版本中引入了新的安全措施，如禁用NTLM协议的自动 relaying，以及使用更安全的认证机制，如Kerberos。针对这些漏洞，PTT系统的使用者和管理者应当采取相应的安全措施，如使用强密码、定期更新软件、加密通信内容、限制访问权限、对设备进行物理安全措施等，以确保通信的安全性和可靠性。反序列化：将序列化后的数据重新转换为原始对象。

当用户在浏览器中访问以https://开头的网站时，浏览器通常会连接到该网站的443端口建立安全连接。在一些对安全性要求较高的网站，比如银行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息，其他人抓包获取到的是加密数据，保证了交易的安全性。HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。d、设置TCP本地端口443到443，对方端口0到0，TCP标志位为 SYN， 当满足上面条件时“通行”确定；

Apache Log4j是一个基于Java的日志记录组件，通过重写Log4j引入了丰富的功能特性，该日志组件被广泛应用于业务系统开发，用以记录程序输入输出日志信息。Apache Log4j2存在远程代码执行漏洞，攻击者可利用该漏洞向目标服务器发送精心构造的恶意数据，触发Log4j2组件解析缺陷，实现目标服务器的任意代码执行，获得目标服务器权限。

网络安全是国家安全的一项基本内容，然而，随着网络技术的飞速发展，网络安全威胁也日益增多。下面请大家一起来学习了解一下其中的“两高一弱”问题及其应对措施。

高危端口是指默认开放且易被利用的服务端口，常见于文件共享、远程管理、数据库服务等场景。攻击者可通过这些端口发起漏洞利用、横向渗透、勒索病毒传播等攻击。根据等保2.0的安全通信网络（三级）和入侵防范要求，需对非必要端口实施“最小化开放原则”。

Http.sys是Microsoft Windows处理HTTP请求的内核驱动程序。HTTP.sys会错误解析某些特殊构造的HTTP请求，导致远程代码执行漏洞。成功利用此漏洞后，攻击者可在System帐户上下文中执行任意代码。由于此漏洞存在于内核驱动程序中，攻击者也可以远程导致操作系统蓝屏。

文件包含漏洞是一种导致服务器上的文件被非法访问的安全漏洞，这种漏洞通常是由不当的 Web 编程实现引起的，允许攻击者从外部文件中读取服务器上的数据。要防止跨站请求伪造攻击，可以采取一些防御措施，比如在每个JSON请求中添加一个CSRF令牌，在每个请求头中添加一个Referer头来确认请求发起者的网站，在JSON客户端中添加一个安全令牌，启用HTTPOnly来防止JSON反序列化注入，编写坚固的代码来限制JSON请求的数量，以及启用内网环境的安全控制等。此时，每个路由器都会尝试同步它们的LSDB。

先按住Windows键+R键调出运行栏，输入CMD按回车，就会弹命令栏，在里面输入netstat -an | findstr "135 137 138 139 445" 查看这三个端口是否开启，如果是开启的，就把它关闭掉。135 端口：主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够包括HTTP协议在内的多种网络传输

0x00 简介　　安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全四项，这篇博客简单整理一下Windows Server 2008 R2的安全加固方案。0x01 账号安全　　这一部分主要是对账号进行加固。账号管理　　运行->compmgmt.msc（计算机管理）->本地用户和组。　　1.删除不用的账号，系统账号所属组是否正确。　　2.确保guest账号是禁用状态。　　3.修改管理员账户名，不要用administrator。

由多领域安全专家组成攻击队，在保障业务系统安全的前提下，直接在真实网络环境开展对抗，对参演单位目标系进行可控、可审计的网络安全实战攻击，通过攻防演习检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。，由多领域安全专家组成攻击队，在保障业务系统安全的前提下，直接在真实网络环境开展对抗，对参演单位目标系进行可控、可审计的网络安全实战攻击，通过攻防演习检验参演单位的安全防护和应急处置能力，提高网络安全的综合防控能力。，结合安全人员的分析，可快速发现攻击行为，并提前做出针对性防守动作。

漏洞影响：影响版本包括Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows 8.1、Windows Server 2012 R2等多个Windows版本。漏洞影响：影响版本包括Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2等多个Windows版本。

1.1 背景1.2 目标1.3 基本原则1.4 参考依据8.1 演习工作总结8.2 演习规划建议。

Wireshark（前称Ethereal）是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……。Wires

Wireshark使用入门目录1. Wireshark介绍 1.1 客户端界面 1.2 Display Filter 的常用方法 1.3 界面上一些小TIPS 2. 使用Wireshark分析TCP三次握手过程 2.1 三次握手原理 2.2 第一次握手 2.3 第二次握手 2.4 第三次握手 2.5 为什么是三次握手 3. 请求数据的过程 4. 分析四次挥手过程 4.1 理论基础 4.2 实例分析 参考资料1. Wireshark介绍.

值得推荐的威胁情报平台威胁情报一直是安全行业热议的话题，实际上在国内的发展还比较初级。威胁情报具有优秀的预警能力、快速响应能力，并且能改善管理层之间的沟通、加强策略规划和投资。但是大部分企业机构并不具备充分利用威胁情报的能力：1.数据量太大且过于复杂；2.拥有相关知识的人才匮乏。威胁情报是指基于一定知识的证据，已经存在或正在形成的潜在威胁，比如，上下文、机制、指标、意义以及可实施的建议，利用这些可以帮助当事人形成应对这些危险的决策，预测（基于数据）将要来临的的攻击。威胁情报利用公开的可用资源，预

在本文中，我们将介绍市场上可用的十大最佳漏洞扫描工具。OpenVASTripwire IP360NessusComodo HackerProofNexpose communityVulnerability Manager PlusNiktoWiresharkAircrack-ngRetina1.OpenVASOpenVAS漏洞扫描器是一种漏洞分析工具，由于其全面的特性，可以使用它来扫描服务器和网络设备。这些扫描器将通过扫描现有设施中的开放端口、错误配置和漏

Win7如何简单的关闭445端口及445端口入侵详解最近永恒之蓝病毒攻击了很多教育网的同学，然后我就搜集了如何关闭445端口的方法，下面分享出来一起学习。先了解一下445端口：445端口是net File System(CIFS)（公共Internet文件系统），445端口是一个毁誉参半的端口，他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件...

DNS解析远程代码执行漏洞通常指的是攻击者利用DNS解析过程中的漏洞，通过构造恶意的DNS查询请求，实现对目标系统的远程代码执行。这种漏洞可能存在于DNS服务器软件、DNS客户端软件或中间件中。

常见端口的漏洞总结

在本篇文章中，我们将详细介绍SQL注入的原理，演示如何在电商交易系统中出现SQL注入漏洞，并提供正确的防范措施和解决方案。比如，在电商系统中，订单状态可能只有几个固定值（如"pending"、"shipped"、"delivered"），这时可以通过白名单校验来确保输入合法。例如，可以在执行SQL查询之前，对SQL语句进行关键字匹配，检测是否包含SLEEP()、BENCHMARK()等关键字。当用户输入未经过适当的转义或验证时，恶意用户可以通过构造特定的输入，改变SQL查询的结构，导致安全问题。

命令行注入，也称为命令注入攻击，是一种网络安全漏洞，它允许攻击者通过构造特殊命令字符串的方式，将数据提交至应用程序中，并利用该方式执行外部程序或系统命令实施攻击，非法获取数据或者网络资源等。然而，随着技术的不断发展和攻击手段的不断演变，我们需要持续关注新的安全威胁和漏洞，并不断更新和完善我们的防御策略。当Web应用在调用系统命令的函数时，如果没有对用户输入进行严格的过滤和验证，用户输入的恶意命令字符串就可能被作为系统命令的参数拼接到命令行中并执行，从而造成命令注入漏洞。

使用nmap 6.45扫描服务器心脏出血漏洞(heartbleed)的具体方法(步骤)

nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。

普通注入：XML 注入攻击和SQL 注入攻击的原理一样，利用了XML 解析机制的漏洞，如果系统对用户输入"<",">"没有做转义的处理，攻击者可以修改XML 的数据格式，或者添加新的XML 节点，就会导致解析XML 异常，对流程产生影响。SQL注入是最常见的注入攻击类型之一，攻击者通过在输入字段中插入恶意的SQL代码来改变原本的SQL逻辑或执行额外的SQL语句，来操控数据库执行未授权的操作（如拖库、获取管理员信息、获取 WebShell权限等）。输入验证：对用户输入进行严格的验证和过滤。

Nmap使用