准备阶段:别急着动手,先搭好台子
公司刚通知下周要搞一次网络攻防演练,很多人第一反应就是赶紧装工具、配环境。其实最该做的,是先把目标和边界划清楚。比如,这次是只测官网?还是包括内部OA系统?哪些IP能打,哪些绝对不能碰,必须提前书面确认。
这个阶段最容易犯的错,是技术团队和管理层理解不一致。曾经有家公司,红队刚扫了两下就被安全部叫停,原因是没拿到正式授权。所以,签授权书、定时间窗口、备份关键数据,这些“慢动作”反而能让后面跑得更快。
信息收集:像侦探一样摸底
攻击方不会一上来就猛攻,他们先“踩点”。我们做演练也一样。用nmap扫开放端口,用dnsenum查子域名,甚至去天眼查看看公司注册了哪些域名——这些都算合法手段。
有个真实例子:某团队发现一个老域名指向内网测试系统,没人维护,直接成了突破口。所以这一步的关键不是工具多高级,而是思路全不全。公开情报(OSINT)往往比技术扫描更有效。
攻击与防御对抗:真刀真枪过招
到了实战环节,红队开始尝试漏洞利用,蓝队则忙着监控日志、封堵入口。这时候最怕的就是乱成一锅粥。建议设定几个关键节点,比如每天上午10点同步一次进展,避免重复劳动或误伤业务。
有一次看到一个团队用自动化脚本批量尝试弱口令,结果触发了太多告警,导致真正可疑的行为被淹没。反倒是另一个团队,手动分析登录日志,精准定位异常IP,效率高出不少。
nmap -sS -p 1-65535 --open 192.168.1.100<br>dnsenum example.com<br>grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c复盘总结:别开完会就完事
演练结束后的会议,不该只是念PPT。要把每个攻击路径还原出来,比如“攻击者从钓鱼邮件入手,获取员工账号,再横向移动到财务服务器”。这种具体链条,比单纯说“存在风险”有用得多。
更重要的是形成改进清单。哪个补丁没打?哪条防火墙规则失效?把这些变成可执行的任务,分配责任人和截止时间。下次演练前翻出来看,进步一目了然。