关于蓝队的一些思考和感悟--写在博客访问量破万之际

      今天一早起来，看见博客访问量马上破万了，遂写一篇，以留纪念。

      今年疫情期间，在家里憋的无聊，又不舍得浪费大把的时间，于是捡起来博客写写。过去也曾有写博客的想法，并不是没有坚持，而是觉得不好把握哪些技术可以分享，哪些不便分享，于是干脆把自己的技术笔记记录在了私人笔记本上。虽然这么一直坚持就是几年，用起来也还算方便，每次翻笔记时候，框架性的东西很容易回忆起来，但年龄不饶人，很多技术细枝末节经常还会遗忘。另一方面，自己一直信奉网络安全技术是一项以实验、实战结合的动手性工作，如果只停留在技术点的层面，那就是纸上谈兵了。于是有了写博客的想法。那么这次怎么区分写什么内容呢，想来想去就写自己的技术弱项《攻击相关技术知识》，因为这方面毕竟和自己的工作内容远一些，也就没有太多的顾虑。

      今天想借着破一万浏览的时间点，写点我对蓝队的思考和看法。近几年，网络安全产业越来越热，很多年轻人都投入到这项工作之中，技术的升级迭代也非常迅速，尤其红队技术的发展，多年以前，可能一个waf就把很多小黑挡在了门外，但如今，红队大佬比比皆是，红队打法、思路也是遍地开花。在我认识的网络安全行业的朋友中，几乎百分之九十都是投身于红队工作，那么蓝队的前途在哪里，蓝队又有什么可做的，蓝队真的落寞了吗？个人觉得不一定。在红队如此强大的今天，蓝队其实还有好多事情可以做，魔高一尺，道高一丈嘛，红蓝对抗永远是人与人之间的对抗，技术只是工具辅助作用。那么人和人之间的对抗，讲究技术、讲究工具、还更要讲究谋略。

      我们知道，如今红队选手都非常注重信息收集，甚至有人提出渗透的本质就是信息收集，我不否认信息收集的重要，但信息收集回来，对信息处理的算法一样非常重要，算法有问题，整个渗透过程势必受影响。那么，我们作为蓝队，能在红队这么强大的信息收集攻势下做些什么？这个问题一直在我脑海里翻滚。最近，生活中几种感兴趣的事对我有很大启发。

      先讲个历史小故事，本人很喜欢三国，里面曾经有一段故事印象深刻。故事讲述的是曹丕和曹植争夺继承权的发生的事情，曹操是个极度爱猜忌、多疑的人，他内心偏爱曹植才华，立储之事迟迟未定。这个时期的曹操对立储犹豫不决，在暗中派心腹观察两位候选人一举一动，以做到心中有数。一日，曹植听到耳目回报，有一队人马挑着框进了曹丕府中。得到消息，曹植立马到曹操那告了一状，说不清楚曹丕在搞什么鬼，半夜让人抬箩筐进府。本就多疑的曹操顿时疑心大起，于是下令对曹丕严密监视，再有类似人马一律当场搜查。果然，第二天又有人马挑着箩筐进了府中，在掌握证据后，曹操令人将运送箩筐人马全部拿下搜查，结果居然什么也没搜到。从此以后，曹操不但打消了对曹丕的怀疑，反而开始怀疑曹植，怀疑曹植为了争夺王位、处心积虑研究自己的同胞兄弟。

      那么，这件事实际是什么情况呢，曹丕找人运箩筐进府到底是在做什么。事实上，曹丕早就感受到了曹操和曹植对让他的双方面监视，但又无计可施，他急着想找一位高人给他出出点子，但有不方便出门与人接触，以至让敏感的曹操察觉到他的心思。于是他给吴质写信求助，吴质和司马懿等四人号称“四友”，都是有大才智之人，后来成为了曹丕的心腹大臣。但当时吴质因为与曹丕走的太近，一次聚会上当面直视曹丕的甄夫人，被曹操听说后直接发落边疆。此时的曹丕急需吴质前来出点子，又不能把此时泄漏出去，于是就写了一封信给吴质，吴质收信后当夜藏身箩筐中进曹丕府。为了防止事情泄漏，吴质专门安排人连续三日送同样箩筐进曹丕府中，目的就是让曹操查空，打消疑心，当然，吴质肯定也算到了曹植肯定会对曹丕的一举一动严密监视。最终，吴质与曹丕那一夜长谈，给曹丕提出了“以德抗才”的战略方针，最终也让曹丕在争储大战中后来居上。

      从这个小故事中，我们完全可以把曹植、曹操看成是信息收集能力强大的红队选手，对于如此强大的红队选手，我们一味正面防御，肯定是会忙于奔命，处理起来很棘手，但如果我们加入一些人与人之间对抗的谋略，针对红队选手的信息收集敏感，信息收集欲望强的特点，刻意给多疑的对方释放一些虚假信息，可能会达到事半功倍的效果。

      另一件事，虽然原理相近，但我还是觉得值得一写。最近在抖音上，还特别喜欢看盗墓系列知识，发现古代的盗墓贼，其实干的活远远不比今天的黑客来的简单，要发现一个古代墓地，要精通风水星象，盗墓时候打洞技巧还要十分娴熟，这种高技术活动让我深感兴趣。其中，有一个墓室的设计印象深刻。历代王侯将相为防止自己的墓葬被盗墓贼侵扰，绞尽脑汁的设置了各种各样的防盗墓措施，像铁锁吊石、机弩毒气，甚至还有在自己墓碑上向盗墓贼哭穷的，但是随着时间的验证，这都不是最有效的。公元2005年，考古专家在对上蔡县郭庄一座古墓进行考古发掘，发掘的过程中，有18个盗洞已经深入到了墓室的核心区域，本来不抱任何希望的，但是峰回路转柳暗花明，盗洞戛然而止，最后出土了千余件楚国青铜器，经历了2000多年，主墓室仍完好无损，这多亏了防盗门设计流沙，这座墓深达十七米，其中10多米埋的都是沙子，其次造假棺材迷惑盗墓贼，在主棺的正上方和侧方，加修了两个假棺材，里面甚至还放置了一些小件的陪葬品，来迷惑盗墓贼。据说里面回填的沙子是经过烘炒或者暴晒的，这样做可以保持地下的干燥，防止尸体过早腐坏，增加防盗门效果。干燥的细沙如流水，流动性极好，盗墓贼无法在这种土层上挖掘盗洞，这边挖好了那边又填满了。不仅如此，考古人员还在积沙层中发现了一千余块积石，最小的仅三公斤，最大的165公斤，这些石块放置的位置也是经过精心考虑的，可以放置盗墓贼从不同的部位进入，所以说流沙墓是盗墓贼的克星，目前中国发现了好几座这样的墓葬，都是有效的防止了盗墓贼的破坏。

      看完这些古人的高超智慧，我相信网络安全蓝队从业者一定会有很多启发，不论是蜜罐技术，还是攻击欺骗，其实很多技术思路来源还是人与人之间智慧的碰撞，我们完全可以学习古人的谋略，运用在当前的技术开发实战中，作出更好的更强的蓝队作品，这也是我下一步的追求和目标。