本文总结了为期15天的项目经验，重点围绕流量类和终端类检测设备展开，深入剖析了在设备运营中遇到的实际问题与破局思路。文章从外对内、内对内、内对外三个流量方向入手，详细阐述了告警分析的难点与应对策略，如关注文件上传和命令执行，利用webshell流量特征，以及内网流量的归类分析。同时，文章还分享了在解答一线告警疑问时发现的现象，揭示了不同水平安全从业者在告警分析能力上的差异。

🔥**外对内流量告警分析**：针对互联网到DMZ区的流量，重点关注漏洞利用。通过前置狩猎，在攻击者利用漏洞初期捕获攻击行为，尤其关注文件上传和命令执行，分析上传文件类型和服务器响应头，以及webshell流量特征。

🕵️‍♂️**内对内流量告警分析**：内网主机间流量告警分析难度大，需区分正常业务、内部测试和攻击流量。对IP属性进行分析，区分黑客行为和正常软件使用，例如frp内网穿透，以及分析命令执行类流量的上下文。

🛡️**内对外流量告警分析**：主机对外回连C2的告警相对容易处理，因为情报经过人工研判，一旦产生告警，主机很可能存在问题。终端检测类设备的告警分析也相对简单，通常告警的是文件，结合行为和文件本身进行判断。

🐒**安全从业者能力差异**：在解答一线告警疑问时，发现不同安全从业者在告警分析能力上存在差异。告警分析不仅需要技术能力，还需要经验和对业务的理解。

原创 ir社区 2023-08-24 18:34 北京

点鼠标的猴子

为期15天的项目结束了，今年是参加这种项目的第五年，每一年接触的工作内容都不一样。今年从设备运营和人两方面总结下，项目期间基本上都会用到流量类、终端类检测设备。终端检测类设备产生的告警相对好分析些，通常告警的是文件，因此只要结合行为和文件本身分析判断下就知道是否是真实攻击。流量侧产生的告警就没那么容易分析了。下面就简单说下期间遇到的问题以及一些破局思路。

流量设备一般会对三部分流量做识别。

一是外对内，即互联网侧到dmz区的流量，这一部分关注的往往是漏洞，今年也爆出来了很多0day/1day，面对这些漏洞如何在第一时间判断业务有木有被入侵，存在一定的难度。首先设备并没有明确的漏洞检测规则，其次被动发现0day往往是依托其他设备产生的告警一步一步分析出来的。因此要降低这部分漏洞的影响，有一个解决方法就是前置狩猎，在攻击者漏洞利用初期就捕获到该行为。不管什么漏洞最终的目的是为了拿入口权限，针对web应用拿权限的最简单的办法就是文件上传和命令执行。因此可以着重关注这两部分的流量。比如文件上传告警，关注上传文件名称是脚本文件（asp(x)、jsp(x)、php)和服务器响应提供包含脚本文件后缀（asp(x)、jsp(x)、php)。命令执行类告警可以关注主机外联DNSLog和请求头。还有就是webshell流量，这里说一句口诀，同一带后缀的url多次请求返回的content-length值不一样，那么这个url比较可疑。

二是内对内，即内网主机间的流量，这一部分告警最难分析，正常业务触发的告警、内部测试产生的告警还有真正的攻击流量等等多部分流量混杂在一起，要想筛选真正的告警流量比较困难。笔者今年是深有体会，远程运营客户的流量设备，前期耗费大量时间梳理正常业务IP。这里说两个场景吧，一个是frp内网穿透，这个工具不仅黑客在用，而且有些正规软件也在用。因此设备上产生这种告警，首先要分析下IP的属性，判断到底是黑客所为还是正常软件。比如34.212.174.147、202.63.172.195这两个的IP，从流量内容看确实和frp通信无异。但是实际上是gradio和某播放器的连接IP。另外就是命令执行类流量，业务正常部署或者运维在TCP流量中可以看到明文命令，这一步分告警比较难处理，得分析IP的前后上下文才知道是不是可疑操作。因此在分析内网渗透流量的时候要先做好归类，这样在24小时告警分析时才不会遗漏。

三是内对外的流量，即主机对外有回连C2，这一部分告警相对好处理些，情报都是经过人工研判的，所以如果产生告警那主机必然有问题。终端检测类设备这部分告警相对好分析些，通常告警的是文件，因此只要结合行为和文件本身分析判断下就知道是否是真实攻击。

再来说一下人。笔者今年在二线有一部分工作内容是解答一线的针对设备告警的疑问，直白点就是客服。这一块工作的时候发现了一些有意思的事情。虽然大家都是猴子，但是猴子的水平还是有差别的，下面贴张比较有意思的截图。

未完待续。。。。