泷羽sec-蓝队基础之网络七层杀伤链（上）学习笔记

声明！学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](泷羽sec的个人空间-泷羽sec个人主页-哔哩哔哩视频)

本章课程链接：蓝队基础之网络七层杀伤链_哔哩哔哩_bilibili

一、企业网络架构

企业网络架构是指一个组织中计算机网络的结构和布局，包括硬件、软件、网络连接、数据流、通信协议及安全措施等。一个良好的网络架构能够支持企业的日常运营，提高效率，确保信息安全。

网络架构模式

一、分层架构模型

1.接入层（Access Layer）
这是企业网络架构的最底层，主要负责将终端用户设备（如计算机、IP 电话、打印机等）连接到网络中。接入层设备通常是以太网交换机，它提供了大量的端口，可以通过双绞线（如常见的五类线、六类线）或无线接入点（用于 Wi - Fi 连接）来连接设备。

   2.汇聚层（Distribution Layer）
   汇聚层位于接入层和核心层之间，它的主要功能是将多个接入层设备连接在一起，并对数据流量进行汇聚和管理。汇聚层设备会对从接入层传来的流量进行处理，如进行 VLAN（虚拟局域网）间的路由、流量过滤、QoS（服务质量）策略实施等。
   3.核心层（Core Layer）
   核心层是企业网络的骨干部分，它负责快速、高效地转发大量的数据流量，连接企业内的各个汇聚层设备以及不同的分支机构网络等。核心层设备需要具备高性能、高可靠性和高带宽的特点，通常是高端的交换机或路由器。

二、网络设备组成部分

1.交换机（Switch）
   交换机是企业网络中最常用的设备之一，主要用于连接多个设备，形成一个局域网（LAN）。它通过 MAC 地址来识别和转发数据帧，能够提高网络的带宽利用率和传输效率。
例如，在一个数据中心内，服务器通过交换机相互连接，交换机能够快速地将一台服务器发送的数据帧准确地转发到目标服务器，而不会像传统的集线器那样将数据向所有端口广播，从而大大提高了数据传输的速度和安全性。
   2.路由器（Router）
路由器用于连接不同的网络，如将企业内部的局域网与外部的互联网连接起来，或者连接不同的分支机构网络。它通过 IP 地址来进行数据的路由选择，根据目标 IP 地址决定数据的转发路径。
   3.防火墙（Firewall）
防火墙是保障企业网络安全的重要设备，它可以根据预先定义的安全策略，允许或禁止网络流量通过。防火墙能够检测和阻止未经授权的访问，如外部网络对企业内部敏感数据的攻击，以及防止内部网络用户访问一些不安全的外部网站。

三、网络拓扑结构类型

1.星型拓扑（Star Topology）
   在星型拓扑结构中，所有的终端设备都连接到一个中心设备（通常是交换机）。这种结构的优点是易于管理和维护，单点故障（如果某个终端设备出现故障）不会影响其他设备的正常工作。
   2.树形拓扑（Tree Topology）
树形拓扑是一种分层的星型拓扑结构，它由根节点（通常是核心层设备）、分支节点（汇聚层设备）和叶节点（接入层设备和终端设备）组成。这种结构适合于大型企业网络，能够有效地扩展网络规模。
   3.网状拓扑（Mesh Topology）
网状拓扑结构中，每个节点都与其他多个节点直接相连。这种结构提供了高度的冗余性和可靠性，即使某些链路出现故障，网络仍然可以通过其他链路保持连通。不过，这种拓扑结构成本较高，配置和管理也比较复杂。

网络管理的组织架构

1.高层管理

CIO（首席信息官）：

负责企业信息系统的战略规划、管理和优化，确保信息技术与企业战略保持一致。

CTO（首席技术官）：

负责运营技术的整体方向，包括技术创新、研发、技术选型等。

2.IT设备

中央系统：

集中管理企业内的所有IT资源，包括软件、硬件和数据。

自带设备（BYOD）：

员工自带移动设备（如手机、平板电脑）接入企业网络，但需要制定相应的安全策略和管理规定。

影子IT：

员工可能在企业内部的搭建的小网络或使用的未经授权的IT设备和软件，这增加了企业的安全风险，需要加以管理和控制。

此类设备存在管理比较宽松，可能通过该类设备搭建内外网跳板拿下内网环境。

3.中央技术团队

1. 客户服务团队

提供技术支持和服务。包括终端维护技术支持和服务台技术支持等。

技术支持：为内部员工或客户提供技术支持，解答技术相关问题。

故障排除：通过电话、电子邮件或在线聊天提供即时的故障排除服务。

2. 基础设施团队

负责网络服务器机群的规划/部署和维护

3. 数据库管理团队

负责数据库存储、备份和恢复，确保数据的完整性和安全性。

数据库维护：负责数据库的安装、配置和管理，确保数据库性能高效。

数据备份与恢复：定期备份数据库，制定灾难恢复计划，确保数据在意外情况下可以恢复。

安全管理：实施数据库安全措施，防止数据泄露和未授权访问。

4. 技术团队

负责数据库存储、备份和恢复，确保数据的完整性和安全性。

5.安全部门

由CISO（首席信息安全官）领导，负责企业整体的信息安全策略、规划和管理。安全部门需要向CIO、CTO、CFO（首席财务官）和CRO（首席风险官）报告，确保信息安全与企业战略、财务和风险管理保持一致。

6.企业管理技术

信息安全管理成熟度模型（ISM3）：

信息安全管理成熟度模型（ISM3）是一种用于评估和改进企业信息安全管理的框架。它描述了企业安全运行和管理流程的成熟度等级，为企业提供了改进信息安全管理的指导。通过采用ISM3模型，企业可以识别其信息安全管理的现状，并制定相应的改进计划，以提高其信息安全管理的水平。

安全职能：

安全职能涵盖了战略、战术和运营安全的所有方面。CISO（首席信息安全官）负责管理运营，确保企业信息安全策略的有效实施和持续改进。CISO需要与企业的其他高层管理人员（如CIO、CTO、CFO和CRO）密切合作，以确保信息安全与企业战略、财务和风险管理保持一致。

安全团队成员：

安全团队成员应了解企业文化、组织和关键人员，以及推动业务成功的关键流程。这有助于安全团队在企业内部树立积极形象，提高信息安全意识和管理水平。通过与企业内部的其他团队和部门合作，安全团队可以更好地保护企业的信息资源，降低潜在威胁的风险。

要去了解蓝队的人员构成、管理构成，然后才能对蓝队有针对性的进行攻克。

典型企业网络分区

企业网络通常划分为不同的安全区域，以控制区域之间的访问权限。划分安全区可以防御外部和内部攻击。

1. DMZ（非军事区）

DMZ是一个缓冲区，位于内部网络和外部网络（如互联网）之间。为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。防火墙一般配备三块网卡，在配置时一般分别连接内部网，internet和DMZ。

2. 蜜罐

蜜罐是一个用于吸引攻击者的虚拟或物理设备，模拟真实的系统或服务。蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

3. 代理

代理服务器作为中介，处理用户与外部网络之间的请求。可以帮助用户访问网络资源。代理可以通过代理服务器转发用户的请求，从而实现间接访问目标网站的目的。代理技术在实际应用中有着多种形式，如HTTP代理、SOCKS代理、VPN等。对于个人用户来说，代理则更多地用于访问被屏蔽的网站、保护个人隐私等。

在红队来看代理可以保护自己的中继和IP的保密性。对于安全性来讲可以多挂2层、3层以至于更多的来保护自己。一般来讲，挂接三层及以上就很难进行溯源。

4. VPN（虚拟专用网络）

虚拟专用网络（Virtual Private Network），简称虚拟专网（VPN），其主要功能是在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

5. 核心网络

核心网络是企业内部网络的主干部分，负责高速数据传输。核心网络（Core Network）是指一种在主要连接节点之间承载快速通信流量的通信传输网络。它通常具有网格拓扑结构，可以为在网络上的设备提供任意两个节点之间的连接。核心网络在大型企业和服务供应商中广泛应用，用于提供不同子网间的信息交换路径。

6. 内部网络

内部网络是公司员工和设备使用的网络，承载着内部通信和数据交换，可能包含多个本地局域网（LAN）。包括有线、无线和VPN接入方式，提供全面的网络覆盖和接入服务。

7. 安管区

安管区是专门用于网络安全管理和监控的区域。用于管理日志、告警和事件提供实的监控和影响能力。

模糊的边界

云计算和SaaS服务的普及对传统网络结构的影响

云计算

云计算是一种通过互联网提供计算服务（包括服务器、存储、数据库、网络、软件、分析等）的模式。这些计算资源被池化，以多租户的方式提供给用户，用户可以根据自己的需求按需获取和使用这些资源，就像使用水电一样，用多少付多少费用。

服务模式

基础设施即服务（IaaS）

提供基本的计算资源，如虚拟机、存储和网络。用户可以在这些基础设施上安装操作系统、运行自己的应用程序等。例如，亚马逊的 AWS EC2（弹性计算云），用户可以在 EC2 实例上构建自己的网站或应用程序环境，自己管理和配置服务器软件。

平台即服务（PaaS）

除了基础设施外，还提供开发和部署平台。包括操作系统、编程语言运行环境、数据库等。开发者可以在这个平台上快速开发和部署应用程序。例如，谷歌的 App Engine，开发者可以使用它提供的 Python、Java 等语言环境，快速开发和部署 Web 应用，不用过多关注底层服务器的配置和维护。

软件即服务（SaaS）（后面会详细介绍）

部署模式

公有云

由云服务提供商提供云计算服务，多个用户共享这些资源。就像住在公寓里，大家共用一些设施一样。这种模式成本低，适合中小企业。例如，阿里云的公有云服务，有很多企业和开发者在上面部署自己的网站、应用等。

私有云

企业自己构建和使用的云计算环境，只有企业内部用户可以使用。相当于企业自己盖了一栋楼，只有自己的员工可以使用。它安全性高，适用于对数据隐私和安全要求较高的企业，如金融机构。

混合云

结合了公有云和私有云的特点。企业可以将一些非核心业务放在公有云，核心业务放在私有云。例如，企业的客户关系管理系统（CRM）可能放在公有云，而财务系统放在私有云。
优势
成本效益：企业无需大量前期投资购买硬件和软件许可证，只需按需付费使用云计算资源，降低了资本支出。
可扩展性：可以根据业务需求快速扩展或收缩资源。比如一个在线游戏公司，新游戏上线后用户量快速增长，通过云计算可以轻松增加服务器数量来满足需求。
灵活性：用户可以在任何有网络连接的地方访问云计算资源，方便远程办公和移动办公。

SaaS 服务（软件即服务）

SaaS 是一种通过互联网提供软件服务的模式。用户不需要在本地安装软件，而是通过浏览器等方式访问云端的软件应用。软件的维护、升级等工作都由软件服务提供商负责。
例如，Salesforce 是一款知名的 SaaS CRM 软件。企业用户通过浏览器登录 Salesforce 平台，就可以使用其客户关系管理功能，包括客户信息管理、销售机会跟踪等。软件服务提供商在后台更新软件功能，用户下次登录时就能使用新功能。
特点
易于部署：与传统软件安装相比，SaaS 软件部署速度快。企业用户只需注册账号，设置一些基本参数，就可以开始使用。例如，使用在线办公软件石墨文档，企业用户注册后，员工可以立即开始创建和编辑文档，无需等待复杂的软件安装过程。
按使用付费：一般根据用户数量、使用时间或功能模块等收费。这样企业可以根据自己的实际需求选择合适的付费方式。比如，企业使用一款 SaaS 的项目管理软件，根据项目团队人数和使用的功能模块（如任务管理、时间跟踪等）来付费。
多租户架构：多个用户（租户）共享软件的基础设施和代码，但数据是相互隔离的。就像住在公寓里，虽然大家共用一栋楼的结构，但每家都有自己独立的房间。例如，在一个 SaaS 的财务管理软件中，不同企业的数据存储在不同的数据库实例或者通过数据隔离机制分开，确保数据安全和隐私。
应用场景
企业资源规划（ERP）：一些中小企业通过 SaaS 模式的 ERP 软件来管理企业的财务、采购、库存等业务流程。例如，NetSuite 是一款 SaaS ERP 软件，企业可以通过它实现业务流程的自动化和集成化。
客户关系管理（CRM）：如前面提到的 Salesforce，企业利用它来管理客户信息、销售渠道等，提升销售和客户服务效率。
办公自动化：在线文档编辑、项目管理等办公软件也多采用 SaaS 模式。像腾讯文档，多人可以同时在线编辑文档，方便企业内部和外部的协作。

随着云计算和SaaS（软件即服务）服务的普及，传统的网络结构正在经历显著的变化。企业越来越多地选择在云中部署基础设施或使用SaaS服务，而不是依赖传统的本地数据中心。这种转变带来了许多优势，如灵活性、可扩展性和成本效益，但也对企业的网络架构和安全管理提出了新的要求。

1.外部攻击面

在收集开源情报之后，安全团队需要对网络进行扫描和探测，以绘制出网络范围内全部节点的拓扑图，关闭无用节点，减少攻击面。

这可以通过使用nmap等工具来实现，例如nmap -Sn <subnet>/24来发现网络中的活跃主机。并重点关注那些开启了SSH服务的未加固设备，及时对其进行加固和修复，以防止潜在的安全威胁。

安全团队可以通过使用nmap等对网络中的所有主机进行服务探测和版本识别，例如nmap -PS -sV ip-address可以用于发现目标主机上开放的服务和版本信息。

对于大型网络主机和应用程序容易缺少补丁或配置存在漏洞。应使用漏扫软件（如Nessus等）验证漏洞的存在性。对于发现的漏洞，安全团队需要及时进行修复，以防止潜在的安全威胁。

使用searchsploit等工具来搜索相关的漏洞利用脚本。例如，searchsploit <service name> <version> 来查找针对特定服务和版本的漏洞利用脚本。通过搜索和分析漏洞利用脚本，有助于安全团队及时了解和应对潜在的威胁和漏洞。

2.身份管理

身份管理是确保企业信息安全的关键环节，它涉及到对系统中所有用户、设备和服务身份
的识别、验证和管理。以下是一些关于身份管理的关键点和工具:
识别windows典型应用
在Windows环境中，常见的应用和服务包括MicrosoftExchange(邮件服务器)。要识别这些应用和服务SharePoint(文档协作平台)和Active Directory(目录服务)可以使用网络扫描工具，如sudo nmap-PS-sV somesystem.com，来探测目标系统上开放的服务和端口。

识别Linux典型应用
在Linux环境中，0penSSH(安全壳协议)用于远程登录和管理，Samba则用于文件和打印共享。同样，可以使用网络扫描工具来识别这些服务。
识别WEB服务
企业应用或边界设备上的WEB服务也是身份管理的重要部分。可以使用whatweb http://someweb.org等工具来识别WEB服务的类型、版本和配置信息。
识别客户端设备
在内网环境中，客户端设备的身份管理同样重要。由于管理员的疏忽或配置不当，终端设备可能会暴露在网络中。因此，需要定期扫描和识别内网中的客户端设备，以确保它们符合企业的安全策略。

身份和访问管理
身份以及特权和访问权管理是企业安全的核心。基本工作站和服务器通常维护自己的身份为了确保系统的安全性，普通用户不能执行系统级配置存储，包括用户账号和服务账号。
管理命令，而需要使用sudo权限或以管理员身份运行。

目录服务
LDAP(轻量级目录访问协议)是一种用于访问目录信息的协议，它广泛应用于AD(Active
Directory)和0penLDAP等目录服务中。通过域集中管理，可以实现资源的集中存储和集中
管理，包括组策略的应用和更新。

企业数据存储

随着数据分析的兴起和监管要求的加强，企业需要集中存储和管理大量数据。常见的存储
方案包括SAN(存储区域网络)和NAS(网络附加存储)。

SAN由高速网络连接多个存储设备组成，提供高性能的数据存储和访问能力;

而NAS则是单个设备拥有大量存储，通过本地网络供服务器和工作站访问。

SAN：设备分散式。 NAS：设备集中式。
此外，企业还可以使用串行局域网(SoL)协议，使串行数据基于HTTPS传输，以提高数据
传输的安全性和可靠性。

企业虚拟化平台
虚拟化平台是企业数据存储和管理的重要工具之一。常见的虚拟化平台包括VMware的vSphere和vCenter、Proxmox等。这些平台可以实现资源的动态分配和优化利用，提高系统的灵活性和可扩展性。

数据湖

是一个保存大量不同形式数据的大型存储库，结合数据分析可以为企业带来额外价值。Hadoop是企业中常见的数据湖解决方案之一，而另一种本地解决方案是DataBricks。此外，还有基于云的大数据解决方案，如Cloudera、Google BigQuery、Oracle BigData、Amazon EMR、Azure Data Lake Storage和Azure HDInsight（基于云的Hadoop）等。

围绕数据湖有一个完整的技术生态，提供数据摄取管道和数据分析服务。然而，数据湖也面临着安全风险，如Hadoop的YARN服务配置错误可能导致恶意HTTP请求攻击并获得系统命令行shell。因此，需要加强对数据湖的安全管理和监控。

企业数据库

企业数据库是存储和管理业务数据的重要工具。
常见的SQL数据库包括0racle SQL、Microsoft SQL Server和MySQL等;而嵌入式SQL数据库则包括MariaDB、PostgreSQL和SQLite等。此外，还有非SQL数据库如MongoDB、Redis、Azure CosmosDB和AWS DynamoDB它们提供了不同的数据存储和查询方式以满足企业的多样化需求。
传统存储形式
传统存储形式中，共享驱动器是一种常见的资源共享方式，它允许用户通过网络协议(如SMB/CIFS)访问远程服务器上的文件和文件夹。使用smbclient命令行工具，可以列出远程服务器上的共享资源，以及从共享资源中下载文件。例如，使用smbclient -L server -U user命令可以列出指定服务器上的共享资源，而smbclient \\\someser\\\vertest -U user则可以连接到名为test的共享资源，并使用get命令下载文件。

在Windows系统中，还存在一些默认的共享资源，如C(所有驱动器的默认共享)ADMIN管理共享)和IPC$(管道，用于与其他计算机互操作的特殊连接器)。这些献认共享通常用于系统管理和维护任务。

SOC（Security Operations Center，安全运营中心）是企业信息安全计划的重要组成部分，它负责监控、分析和响应网络中的安全事件。为了将SOC纳入企业的整体信息安全管理体系，需要了解SOC如何适应ISMS（Information Security Management System，信息安全管理体系）。

ISO27001标准和NIST网络安全框架是指导企业建立运营安全程序的两个重要标准。

ISO27001标准提供了一种基于控制方法的审计和认证框架，而NIST网络安全框架则更注重预防和应对网络攻击，包括识别、保护、检测、响应和恢复五个阶段。然而，这些标准并没有具体提出建立SOC的要求，因此每个企业安全运营的组织方法都不尽相同。

信息安全生命周期通常包括四个阶段：安全策略、能力设计、实施和运营。戴明环（PDCA）是信息安全生命周期的早期表现，它包括计划、做、检查和行动四个步骤。而SABSA框架则对信息安全生命周期进行了改进，将其划分为战略规划、设计、实施和管理测量四个阶段。

戴明环（PDCA）是由美国质量管理专家休哈特（Walter A. Shewhart）首先提出的，后来被戴明（W. Edwards Deming）采纳、宣传而获得普及。PDCA 是英语单词 Plan（计划）、Do（执行）、Check（检查）和 Act（处理）的首字母缩写，它是一种质量管理方法，用于持续改进过程和产品质量。这四个阶段构成一个循环，不断重复，使质量持续提升。

从渗透测试的角度来看，掌握SOC的日常操作活动是为了避免被检测出来；而从防御者的角度来看，掌握SOC完整的生命周期视图可以确保其有效性。SOC的目标是通过监控和事件响应为基础设施和操作提供安全保障。

SOC通常分为不同的层级，每个层级负责不同的任务。例如：

L1：提供监视告警、分类和解决小问题。

L2：提供对日常事件的分析、遏制和解决。

L3：负责损失控制、深入调查和取证分析等IR（Incident Response，事件响应）事件。

L4：安全管理，负责日常、非事件相关的程序，如开设账户、访问授权审查、定期安全报告和其他主动安全程序。