记一次蓝队实战

我来到现场的时候，就已经是攻防的最后几天了，叫我们来也是因为前期扣分太多，想让我们补救一下（不在被继续扣分，争取溯源到攻击者的ip）。

不得不说，蓝队的机房防守是真的严格。至少从物理层面是这样的，先是用门禁卡进最外面的门，然后又是指纹、密码锁各种各样的验证（一共穿过了5道门）。其中我没想到的是就连机房里放服务器和安全设备的机箱都是每个都有密码锁，严格程度真的是惊到我了。

相比于蓝队，红队就随意多了，拿到平台下发的vpn和攻击手册，签完保密协议就可以愉快的攻击了。

把视角拉回蓝队，蓝队确实比红队辛苦（至少红队的时间比较自由）。蓝队需要值守，紧盯监控平台。而且还不能仅仅只看监控（说真的，你能在监控看到的攻击，其实基本都可以被那些安全厂商的设备拦截掉），想有一些收货，就需要直接查看流量日志分析流量来抓到hacker（是真的很辛苦，一天要看8个小时以上设备，看到可疑的攻击请求还要在自己的电脑上复现）。

就当我苦看日志，找到了几个攻击者的ip后，以为可以得到溯源分，信心满满的提交了溯源报告。结果都没有通过，用whois反查才发现都是个人vps，有的甚至还是境外的vps，一下子就想明白了。溯源的ip只有溯源到平台下发的攻击ip才给分，但是红队一般都会用自己的vps，就会导致蓝队无奈的发现，即使在安全设备上看到了攻击流量和攻击ip，也无法审核成功。

发现这点后，原本还干劲满满，瞬间哑火了。有种靠老天爷赏饭吃的感觉，我们做的只有封封ip之类的没有啥技术含量的活。可是来这里防守也不能啥看着，毕竟你是需要写防守报告的，那看来只能另辟蹊径了。我们决定把蓝队当红队打。

好在我们值守时没有内网的攻击流量，我们刚好有时间干一点别的。于是我们开始攻击我们自己防守的资产，具体细节也不能说，但是最后还是打到了不少成果。打到了弱口令、mysql、redis等一些漏洞。打到之后我们立马上报，让负责人赶紧修改密码或者修补漏洞，也算是对的起防守单位请我们来，并且跑这么远出差。

当然结果也是不错的，在我的这段时间里，防守单位只被攻击方拿下了200分，排名还上升了一名，这让我很高兴。

最后总结一下吧，蓝队确实比较辛苦。因为敌人是未知的，攻击时间也是未知的，你永远无法知道红队什么是后对你进行攻击。让你在防守的过程中提心吊胆，吃饭睡觉都不踏实，生怕在你刚刚松懈的时候就对你发起进攻。而且蓝队能够使用安全设备防御的资产有限，类似于外网的一些古老站点，微信小程序，手机app都是在安全设备上看不到流量的。就会导致这些站点被扣分后，才后知后觉。这也对我作为红队老本行提供了思路。只能说随着国家的重视，和攻防次数的增加大家真的变得越来越狡猾。同时也通过攻防可以看出，自己还需要再努力一点。