设备问题（初中级）1

一、天眼设备

1、在天眼设备中，sip、dip、sport、dport字段的含义？

答：sip是源IP、dip是目的IP；sport是源端口、dport是目的端口。

 

2、在天眼分析平台DNS协议中的dns type字段的含义是什么？

答：dns type表示DNS请求类型；0表示DNS请求、1表示DNS响应。

 

3、dns_type中的addr代表什么？

答：表示该host对应的IP地址信息.

 

4、天眼可以捕捉到远程的cmd命令吗？

答：可以捕捉到，比如攻击者远控你内网机器，执行cmd并返回结果。

 

5、天眼告警可以显示的结果，除了成功和失败还有什么嘛？

答：成功、失败、未知、尝试

未知：一般都是告警生成了错误，可以忽略。

尝试：可能成功也可能失败，需要全部分析。

 

6、内网横向有哪些告警类型？

答：cs相关告警、隧道类告警、内网段的漏洞扫描、暴力破解等。

补充：如果内网主机对内部其他主机进行攻击，说明该内网主机可能已经沦为攻击者的跳板机，企图控制更多的内网的其他主机。

 

7、使用天眼设备如何判断资产是否失陷？

答：受害资产不断对外联恶意地址，受害资产有shell连接或者隧道类告警。

 

8、当出现受害IP为源的时候是什么情况？

答：当网络攻击者使用IP伪造技术或IP欺骗技术时，可能会发生IP为源的情况。

 

9、在天眼分析中，SSL协议字段中表示服务器名称的字段是什么？

答：server name

 

10、在天眼分析中，威胁告警检索字段中attack sip字段的含义是什么？

答：指的是攻击者的IP

 

11、在天眼分析平台中，proto字段表示的含义是什么？举两个邮件应用的例子？

答：proto表示协议；邮件应用协议有ETP、POPIMAP

 

12、天眼分析平台中，IOC代表什么含义、反映？

答：IOC表示匹配成功的威胁情报

IOC反映的是主机或网络失陷的特征信息，包括入侵工具、恶意软件和攻击者的属性。

 

13、在天眼中怎么搜索一个在日志里指定的端口？怎么把两个端口连接一起查询？

答：sport eq 80

sport eq 80 OR sport eq 445

 

14、一个告警的目的IP是114.114.114.144，端口是53，在这样的告警，我们应该对其IP和端口进行封禁吗？

答：不能封禁，明显是dns服务器转发的地址和端口，我们需要进一步确认真实受害资产的IP信息。

 

15、在天眼分析平台中，如何搜索源IP为A，目的IP为B的网络日志?

答：ip(A) AND dip(B)

补充：AND运算符一定要大写。

 

16、在天眼分析平台中，有哪些运算符？

答：AND OR NOT　　

 

17、天眼分析平台模糊搜索，应该怎么查询语句？

答：直接在日志检索模块里去搜索你要输入的关键字，使用“*”加部分名称进行检索。

 

18、GEO字段代表什么？

答：代表IP对应的地理位置

 

19、不出内网的主机通过哪种代理方式建立连接？

答：可以通过正向代理建立连接。

 

20、天眼告警主机外联的排查思路？

答：主机外联主要判断主机请求的外网地址是否是恶意，或者是dnslog相关平台域名，若地址在威胁情报查询是恶意或请求dnslog相关域名次数较多，可判断主机异常。

 

21、天眼中成功利用的告警如何处理？

答：根据告警类型，分析回显特征是否利用成功。若数据包无法判断，可以复现漏洞判断。判断告警如果确实利用成功，立刻通报到研判组或客户。

 

22、告警成功怎么处理？

答：首先验证一下是否是成功有效的，如果是有效的就写下问题的详情，然后同步给研判组或者客户。

失败的话，我们再判断攻击者是手动进行攻击还是使用工具进行攻击；

使用分析平台进一步分析，查看攻击IP是否存在其他攻击行为，记录攻击结果，将发现时间及攻击行为反馈给护网客户。