2023级网络安全岗面试题及面试经验分享(17)

面试官：你知道主流的设备原理和开发过程吗 我：（我就说了一下原理，还不知道对不对）
面试官：你在项目中是做过流量分析对吗？能不能说说你的具体案例 我：我在国家hvv中协助发现过0day，单独发现过frp反弹定时回确认包向外输送流量，shiro反序列化等漏洞（我主要讲了我frp反弹的发现思路和流程）
面试官：除了这些常规的特征发现，你自己还有什么快速确定的方法吗？我：（给大家分享一下我自己的流量分析心得） 1.确定事件的类型（确定事件是什么样的攻击，比如sql注入和爆破和frp的流量分析步骤就不一样） 2.确定事件的时间，首先划定一个时间段 3.确定数据流，攻击的数据流我们是要看HTTP，TCP，还是ssh 4.分析是内网—>外网还是外网—>内网，内网和外网时两种查询方法，正确的查询能有效的通过分析更少的数据包获取结果 比如 内网—>外网 我们确定后，第一步肯定先去先查看外网ip的流量，判断行为 外网—>内网 这样一般都是拿下了一个外网的服务器当做跳板机，我们肯定要先去分析内网的受害者服务器，看看有没有被攻击成功
首先我们需要确定到攻击行为后，再深入的流量分析和应急响应，很多都是误报 数据包的大小也是分析的条件，分析SSL数据包需要解密 爆破攻击： SMB,SSH,MSSQL等协议比较多，看包的大小，成功登陆的包很大 看ACK，SYN包的次数，如果成功至少20起步，放到科莱上为40起步，但是注意不是失效包和重传的包（注意加密流的ack和syn包也很多，为客户端一次，服务端一次） 重传攻击： 如果一个数据包非常大，几个G或者一个G，我们就考虑数据包是否进行了重传，然后查看数据包的重传数，打个比方就是刷新，如果短时间重传数非常多，就为机器操作，判定为攻击 我们发现一个攻击（如平台登录后的sql注入）我们可以通过流量回溯装置抓取那个被登录用户的用户名和密码，登录平台后自己利用发现的payload进行尝试，看是否能注入成功
面试官：听说你还做过红队？是哪个项目，你在里面的职责是什么？我：介绍了一下我的项目经验，然后说我在红队的是突击手负责打点（我们当时孤军奋战没后援，也没擅长内网的选手）
面试官：说说你项目中的成果 我：….
面试官：说一下你在项目里遇到的问题 我：我们通过exp拿下了一个锐捷路由器的webshell，但是卡在了反弹shell上面，无法进行反弹