| 攻击阶段 | 攻击手段 | 核心原理 | 典型工具 | 防御措施 |
|---|---|---|---|---|
| 一、信息收集 | 1. 内网存活主机探测(ARP/ICMP 扫描) | 利用 ARP 广播或 ICMP 请求识别活跃主机,无扫描特征或特征弱 | arp-scan、fping、nmap -sn | 1. 部署内网防火墙,限制非授权主机的 ARP 扫描请求2. 开启主机防火墙,拦截异常 ICMP 包3. 禁用不必要的网络协议(如 NetBIOS) |
| 2. 域环境信息枚举(用户 / 组 / DC 查询) | 利用 Windows 域协议(LDAP/SMB)查询域内敏感信息,构建攻击路径 | BloodHound、PowerView、net 命令 | 1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计,监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞 | |
| 3. 主机信息探测(补丁 / 进程 / 服务) | 读取系统补丁列表、进程、服务配置,寻找未打补丁漏洞或弱权限服务 | WinPEAS、LinPEAS、systeminfo | 1. 建立补丁管理机制,定期更新系统和应用补丁2. 最小化服务权限,禁止普通用户读取敏感进程信息3. 部署 EDR 工具,监控异常信息收集行为 | |
| 二、横向移动 | 1. 哈希传递攻击(PTH) | 利用 Windows NTLM 认证漏洞,直接使用哈希代替明文密码登录其他主机 | mimikatz、Impacket(psexec.py) | 1. 禁用 NTLM 认证,强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名,防止哈希窃取3. 限制管理员账户在普通主机登录,避免哈希泄露 |
| 2. 票据传递攻击(PTT) | 伪造 Kerberos 票据(TGT/TGS),模拟域用户身份访问域内服务 | mimikatz、Rubeus | 1. 定期更换 KRBTGT 账户密码,防止黄金票据伪造2. 开启 Kerberos 票据审计,监控异常票据请求3. 限制票据的有效时间,缩短攻击窗口期 | |
| 3. 远程服务利用(WMI/WinRM/SSH) | 利用开放的远程管理服务,执行命令或获取 shell | evil-winrm、wmiexec.py、SSH 暴力破解工具 | 1. 禁用不必要的远程服务(如 WMI、WinRM),仅在必要主机开启2. 为 SSH/WinRM 设置强密码,禁止密码复用3. 限制远程服务的访问 IP,仅允许管理网段连接 | |
| 4. 漏洞利用(永恒之蓝 / PrintNightmare) | 利用未打补丁的系统漏洞,远程执行恶意代码获取权限 | Metasploit、searchsploit | 1. 紧急修复高危漏洞(如 MS17-010、CVE-2021-34527)2. 部署网络入侵检测系统(IDS),拦截漏洞利用流量3. 对关键服务(如 SMB、打印服务)进行流量监控 | |
| 三、权限提升 | 1. Windows 系统漏洞提权 | 利用内核或服务漏洞,突破用户权限限制,提升至 SYSTEM 权限 | wesng、PrivescCheck | 1. 定期扫描系统漏洞,优先修复权限提升类漏洞2. 限制普通用户的进程创建权限,禁止加载恶意驱动3. 部署应用白名单,仅允许可信程序运行 |
| 2. Linux SUID/sudo 提权 | 利用 SUID 文件或 sudo 配置漏洞,获取 root 权限 | LinPEAS、find 命令 | 1. 定期清理不必要的 SUID/SGID 文件(chmod u-s 文件名)2. 严格配置 sudoers 文件,限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH,使用普通用户 + sudo 提权 | |
| 3. 服务配置错误提权 | 修改权限过高的服务二进制路径,重启服务执行恶意代码 | sc 命令、注册表编辑器 | 1. 检查服务权限配置,禁止普通用户修改服务路径2. 对系统关键服务(如 RPC、Windows Update)进行权限加固3. 开启服务变更审计,监控服务配置的异常修改 | |
| 四、持久化控制 | 1. 隐藏账户 / 启动项持久化 | 创建隐藏管理员账户或修改注册表启动项,实现开机自启 | net 命令、注册表编辑器 | 1. 定期审计本地账户和域账户,排查隐藏账户(如带 $ 后缀的账户)2. 监控注册表启动项的变更,禁止非授权程序添加自启项3. 启用账户登录审计,记录所有账户的登录行为 |
| 2. 黄金 / 白银票据持久化 | 伪造 Kerberos 票据,长期控制域内资源,无需重复攻击 | mimikatz | 1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具,检测伪造票据的使用3. 限制域管理员的权限范围,避免权限滥用 | |
| 3. SSH 密钥 / 计划任务持久化 | 植入 SSH 公钥或添加定时任务,实现无密码登录或定期执行后门 | ssh-keygen、crontab | 1. 定期检查~/.ssh/authorized_keys文件,删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计 | |
| 五、数据窃取 & 痕迹清理 | 1. 敏感数据窃取(密码 / 文件) | 提取内存中的密码哈希、下载 NTDS.dit 等敏感文件 | mimikatz、LaZagne | 1. 启用内存保护机制,防止进程内存被读取2. 对敏感文件(如 NTDS.dit)进行加密存储3. 部署数据防泄漏(DLP)系统,监控敏感数据的传输 |
| 2. 日志清理 | 删除系统日志、安全日志,掩盖攻击痕迹 | wevtutil、history 命令 | 1. 将系统日志同步到远程日志服务器,防止本地删除2. 开启日志访问审计,禁止普通用户修改或删除日志3. 定期检查日志完整性,排查日志缺失或篡改情况 |
news
2026/6/10 16:25:01
内网常见攻击手段与防御措施对照表
张小明
前端开发工程师
1.2k
24
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设
2026/6/9 15:35:27
Kotaemon维基百科离线镜像导入教程
Kotaemon维基百科离线镜像导入教程 在当今企业对数据隐私和系统可控性要求日益提升的背景下,如何构建一个无需联网、回答有据、响应迅速的智能问答系统,成为许多开发者关注的核心问题。尤其是在教育机构、科研单位或军事设施等网络受限环境中࿰…
李华
网站建设
2026/6/10 2:27:32
如何判断一个视频到底是真实 MP4 直链,还是流媒体M3U8
我按“从最简单 → 最准确”的顺序,教你如何判断一个视频到底是真实 MP4 直链,还是流媒体(m3u8 / dash)。一、最直观判断法(先看 URL)复制出来视频的链接,看地址特征。✅ 真MP4 直链的特征后缀明…
李华
网站建设
2026/6/5 22:24:53
分析为什么很多视频网站都使用 M3U8而不是MP4
这是一个架构层面的选择问题,几乎所有「像样的视频网站」都会用 M3U8(HLS)。 我从一句话结论 → 技术原因 → 商业原因 → 对比 MP4,来分别讲清楚。 一句话结论(先记住) M3U8 不是为了“下载方便”…
李华
网站建设
2026/6/10 16:20:28
为什么行内脚本创建共享工作者线程没有意义
行内脚本创建共享工作者线程没有意义。因为每个基于行内脚本字符串创建的Blobd都会被赋予自己唯一的浏览器内部URL,所以行内脚本创建的共享工作者线程始终是唯一的。你的理解基本是正确的,但我们可以更精确地澄清一下其中的机制和原因。背景知识SharedWo…
李华
网站建设
2026/6/10 15:17:24
Kotaemon助力AI落地:让大模型真正理解你的业务知识
Kotaemon助力AI落地:让大模型真正理解你的业务知识 在金融、医疗、制造等行业,每天都有成千上万的专业问题等待解答——从“这份合同的风险条款有哪些?”到“患者上次的检查指标是否异常?”。通用大语言模型虽然能流畅对话&#x…
李华
网站建设
2026/6/10 14:59:53
YOLOv11注意力机制革命:Mamba-MLLA注意力机制完全集成指南
购买即可解锁300+YOLO优化文章,并且还有海量深度学习复现项目,价格仅需两杯奶茶的钱,别人有的本专栏也有! 文章目录 YOLOv11注意力机制革命:Mamba-MLLA注意力机制完全集成指南 技术突破与性能验证 Mamba-MLLA核心技术解析 状态空间模型与注意力机制融合 YOLOv11与MLLA深度…
李华