【安全设备】面试

• 1.安全设备基础问题
• • ips/ids/蜜罐/waf介绍
  • waf与ips区别/各种蜜罐的区别
  • 了解的厂商硬件安全设备
• 2.天眼
• • 天眼日志检索常用的语法
  • 如何判断告警是否是误 /li>
  • 如何处理告警
  • 是否攻击成功

1.安全设备基础问题

ips/ids/蜜罐/waf介绍

ips

对该设备的 络流量进行分析监控，发现攻击后就会进行拦截。IPS是防火墙的重要补充，如果是防火墙是第一道防线，IPS就是第二道防线。

ids

监视记录 络中的各种攻击企图。特点就是记录，不会对攻击行为进行拦截，只能事中检测和时候追查。

蜜罐

部署一些作为诱饵的主机，诱使攻击方对蜜罐进行过攻击，对攻击方的攻击行为进行捕捉和分析，了解攻击方使用的工具和方法，从而增强增强真实系统的安全防护能力。

waf

web应用防火墙，专门针对于HTTP和https请求，对客户端的请求内容进行检测，确保其合法性和安全性，还会对非法的请求进行及时的阻断。

waf与ips区别/各种蜜罐的区别

waf与ips的区别

与IPS最大的区别在于：WAF是针对于web系统的防护，对于sql xss文件上传 csrf的防护更具有针对性，而IPS的防护面很广

低交互蜜罐，中交互蜜罐，高交互蜜罐的区别

了解的厂商硬件安全设备

2.天眼

天眼日志检索常用的语法

如何判断告警是否是误 /h2>

首先看下此告警，发起攻击的攻击ip是内 ip还是外 ip

1、如果是内 ip，并且告警流量请求包内有明显的恶意请求，比如请求包内有,等，那么此内 服务器即有可能失陷，会把此ip立即上 给研判组人员，让研判组人员对这个ip进行详细的分析；还有就是这个可能是被访问的这个内 系统，本身业务系统存在业务逻辑问题，因为内 所布置的很多业务系统往往不会考虑一些安全性问题，比如在正常的业务逻辑请求中直接带了sql语句，就会触发设备规则产生告警，这一类是属于误 ，然后会将此告警上 给研判人员，需要研判组专家和甲方客户确认下是否是该系统存在此业务逻辑问题，并且需要确认告警的源ip在此告警的时间段附近有没有进行操作过。

2、如果是外 ip,那么就主要根据请求包和响应包的数据内容进行对比，比如请求包内有一些恶意语句，比如sql执行语句(select version 等)，那么我会判定此攻击为恶意攻击。

如何处理告警

如果看到内 挖矿告警怎么处理

大部分内 挖矿告警，木马病毒都是基于情 的告警，误 率很大，很有可能是因为内部员工使用大量盗版软件以及盗版系统导致，因此无法准确判断。
但是护 期间此类告警需要谨慎处理，不放过任意一条告警，所以我会将此类告警上 到研判人员处，由研判人员再进行进一步的验证

天眼或者传感器上出现命令执行告警/Webshell告警，怎么应对

1、验证此条告警是否真的成功成功的话，直接就可以出 告了）
2、失败的话，判断攻击者是手工还是扫描工具批量行为/strong>
3、进入分析平台进一步分析，查看分析平台攻击IP是否存在其他攻击行为，攻击结果如何/strong>
4、将发现时间及攻击行为反馈给护 客户

是否攻击成功

如果看到一条sql注入告警，怎么判断是否攻击成功

根据请求包和响应包对比进行判断。比如看下请求包内是否有sql语句，如果有sql语句,并且响应包内容有执行成功的回显,那么判定sql注入攻击成功。

如果看到一条命令执行的告警，怎么判断是否攻击成功

根据请求包和响应包进行对比判断，看下请求包内是否有系统命令，比如看下请求包内是否有ipconfig，然后看下响应包回显是否有ip相关的内容，如果有的话说明攻击成功，如果没有，说明攻击未成功，但是确实也还是恶意攻击

如果看到一条xss类型告警，怎么判断是否攻击成功

根据请求包和响应包进行对比判断，看下请求包插入的脚本，在响应包内是否有，当然这样还不能准确判断是否攻击成功，再将响应包的正文复制出来，放到html后缀的文档内，用浏览器打开，看下是否有弹窗之类的。

如果看到ssrf告警，没有明显的回显，怎么判断是否攻击成功

如果能做漏洞验证的话，我会进行复现验证下。如果不能做漏洞验证的话，就查下日志看看他探测的目标有没有流量交互，如果有流量交互的话应当是攻击成功。

如果看到一条文件上传的告警，怎么判断是否攻击成功