前言
通过流量还原分析对应的安全场景以及如何覆盖到安全基线检查是一个长期的工作
开始
场景1
并发指系统或者服务能同时处理的请求数量,直接反应了一个服务的负载均衡能力。之前应急处理过一家公司官网无法访问,但是流量设备和waf并没有给报警和处理,后面通过流量镜像分析得出问题原因,是Web提供的音视频下载功能被几个攻击ip一直请求,建立短连接后客户端主动收缩流量窗口大小并且逐渐清零导致服务端缓存堆积,且服务端负载均衡并没有设置对应的优化超时,直接导致官网不响应。所以记录一下通过案例来看TCP流量控制
场景2
内网被控主机,通常通过webshell或者其他方式获取到当台服务器或者内网的某台主机后,大部分的第一时间是判断当前环境,比如ipconfig/ifconfig/all,接着就是对C段的持续扫描, 同C段的机器在大多数情况下不会每个IP都是一台存活主机,所以这会存在一个流量特征就是被控主机发出去的包远大于确认包,也就是计算SYN>ACK。
场景3
APT团队通过窃取国内公司公司的数字签名证书以用来绕过部分安全检测,并且不使用扫描行为,而是定期发送本机数据到C2地址上