Day14：信息打点-主机架构蜜罐识别WAF识别端口扫描协议识别服务安全

本文主要是介绍Day14：信息打点-主机架构蜜罐识别WAF识别端口扫描协议识别服务安全，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

Web服务器&应用服务器差异性

WAF防火墙&安全防护&识别技术

蜜罐平台&安全防护&识别技术

思维导图

章节知识点

Web：语言/CMS/中间件/数据库/系统/WAF等

系统：操作系统/端口服务/网络环境/防火墙等

应用：APP对象/API接口/微信小程序/PC应用等

架构：CDN/前后端/云应用/站库分离/OSS资源等

技术：JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术：指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

Web服务器&应用服务器差异性

常见的端口对应的服务以及安全问题

通过对端口扫描可以判断出对方服务器的服务类型

中间件分为两类：Web服务器，应用服务器(比前者多开放一个端口，比如Tomacat:8009等)

端口扫描：Nmap、Masscan、网络空间
开放状态：Close Open Filtered
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan
使用参考：
https://blog.csdn.net/qq_53079406/article/details/125266331
https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan：https://www.cnblogs.com/lzy575566/p/15513726.html
考虑：1、防火墙 2、内网环境
内网环境可能出现情况：明明数据库端口开的，网站也能正常打开，但是你对目标进行端口扫描，发现数据库端口没有开放（排除防火墙问题）

因为扫描的是对方Web服务在内网中，与外界通讯通过网络出口，网络出口服务器没有开放相关端口，导致端口扫描与情况不符

Nmap扫描

配置中：Quick scan plus是快速扫描，intense scan all TCP ports 是全部端口扫描

Masscan扫描

在目录下直接输入cmd，进行调用语法：

测试一个至多个端口是否开通：masscan.exe -p 3307 47.75.212.155

测试多个端口：masscan.exe -p 1-65535 1.15.51.4

网络空间：直接查询即可

WAF防火墙&安全防护&识别技术

WAF解释：
Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

WAF分类：

云WAF：百度安全宝、阿里云盾、长亭雷池，华为云，亚马逊云等
硬件WAF：绿盟、安恒、深信服、知道创宇等公司商业产品
软件WAF：宝塔，安全狗、D盾等
代码级WAF：自己写的waf规则，防止出现注入等，一般是在代码里面写死的

识别看图：
拦截页面，identywaf项目内置

识别项目：
wafw00f：https://github.com/EnableSecurity/wafw00f

identywaf：https://github.com/stamparm/identYwaf

wafw00f：https://github.com/EnableSecurity/wafw00f

安装：目录下打开cmd输入：python setup.py install
使用：安装后打开wafwoof目录下cmd输入：python main.py https://jmhewang.com/
注意：查询时候关闭代理，不然无法连接

identywaf：https://github.com/stamparm/identYwaf

使用语法：python identYwaf.py https://jmhewang.com/

蜜罐平台&安全防护&识别技术

蜜罐解释：
蜜罐是一种安全威胁的检测技术，其本质在于引诱和欺骗攻击者，并且通过记录攻击者的攻击日志来产生价值。安全研究人员可以通过分析蜜罐的被攻击记录推测攻击者的意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。因此，我们有必要站在红队攻击者的角度钻研蜜罐识别的方式方法。

蜜罐分类：
根据蜜罐与攻击者之间进行的交互的程度可以将蜜罐分为三类:低交互蜜罐、中交互蜜罐、高交互蜜罐。当然还可以根据蜜罐模拟的目标进行分类，比如：数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐等等。

蜜罐产品：见下图

识别原理：https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

常见的蜜罐

蜜罐数据特征

识别技术：
0、测试
大概了解组成功能等
https://hfish.net/#/

1、项目
项目识别
https://github.com/graynjo/Heimdallr
https://github.com/360quake/quake_rs
quake.exe init apikey值
quake.exe honeypot 目标

2、人工
*端口多而有规律性
*Web访问协议就下载
*设备指纹分析（见上图）

3、网络空间
鹰图，Quake

蜜罐（Honeypot）是一种安全机制，其原理和特点为：

引诱攻击：蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域，吸引和引诱攻击者。蜜罐可以模拟各种服务和应用，如Web服务器、数据库、邮件服务器等，使其看起来像是真实系统。
数据捕获：一旦攻击者对蜜罐进行攻击，蜜罐会记录和捕获攻击行为的详细信息，包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
学习和改进：蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据，安全团队可以了解到新型威胁的特点，并相应地改进网络防御策略。
欺骗和误导：蜜罐可以欺骗攻击者，使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性，并增加攻击者被发现的可能性。
实时监控：蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐，可以提前探测到潜在的威胁，从而更及时地采取防御措施。
早期警告：蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动，防止潜在的风险。