| 攻击阶段 | 攻击手段 | 核心原理 | 典型工具 | 防御措施 |
|---|---|---|---|---|
| 一、信息收集 | 1. 内网存活主机探测(ARP/ICMP 扫描) | 利用 ARP 广播或 ICMP 请求识别活跃主机,无扫描特征或特征弱 | arp-scan、fping、nmap -sn | 1. 部署内网防火墙,限制非授权主机的 ARP 扫描请求2. 开启主机防火墙,拦截异常 ICMP 包3. 禁用不必要的网络协议(如 NetBIOS) |
| 2. 域环境信息枚举(用户 / 组 / DC 查询) | 利用 Windows 域协议(LDAP/SMB)查询域内敏感信息,构建攻击路径 | BloodHound、PowerView、net 命令 | 1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计,监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞 | |
| 3. 主机信息探测(补丁 / 进程 / 服务) | 读取系统补丁列表、进程、服务配置,寻找未打补丁漏洞或弱权限服务 | WinPEAS、LinPEAS、systeminfo | 1. 建立补丁管理机制,定期更新系统和应用补丁2. 最小化服务权限,禁止普通用户读取敏感进程信息3. 部署 EDR 工具,监控异常信息收集行为 | |
| 二、横向移动 | 1. 哈希传递攻击(PTH) | 利用 Windows NTLM 认证漏洞,直接使用哈希代替明文密码登录其他主机 | mimikatz、Impacket(psexec.py) | 1. 禁用 NTLM 认证,强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名,防止哈希窃取3. 限制管理员账户在普通主机登录,避免哈希泄露 |
| 2. 票据传递攻击(PTT) | 伪造 Kerberos 票据(TGT/TGS),模拟域用户身份访问域内服务 | mimikatz、Rubeus | 1. 定期更换 KRBTGT 账户密码,防止黄金票据伪造2. 开启 Kerberos 票据审计,监控异常票据请求3. 限制票据的有效时间,缩短攻击窗口期 | |
| 3. 远程服务利用(WMI/WinRM/SSH) | 利用开放的远程管理服务,执行命令或获取 shell | evil-winrm、wmiexec.py、SSH 暴力破解工具 | 1. 禁用不必要的远程服务(如 WMI、WinRM),仅在必要主机开启2. 为 SSH/WinRM 设置强密码,禁止密码复用3. 限制远程服务的访问 IP,仅允许管理网段连接 | |
| 4. 漏洞利用(永恒之蓝 / PrintNightmare) | 利用未打补丁的系统漏洞,远程执行恶意代码获取权限 | Metasploit、searchsploit | 1. 紧急修复高危漏洞(如 MS17-010、CVE-2021-34527)2. 部署网络入侵检测系统(IDS),拦截漏洞利用流量3. 对关键服务(如 SMB、打印服务)进行流量监控 | |
| 三、权限提升 | 1. Windows 系统漏洞提权 | 利用内核或服务漏洞,突破用户权限限制,提升至 SYSTEM 权限 | wesng、PrivescCheck | 1. 定期扫描系统漏洞,优先修复权限提升类漏洞2. 限制普通用户的进程创建权限,禁止加载恶意驱动3. 部署应用白名单,仅允许可信程序运行 |
| 2. Linux SUID/sudo 提权 | 利用 SUID 文件或 sudo 配置漏洞,获取 root 权限 | LinPEAS、find 命令 | 1. 定期清理不必要的 SUID/SGID 文件(chmod u-s 文件名)2. 严格配置 sudoers 文件,限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH,使用普通用户 + sudo 提权 | |
| 3. 服务配置错误提权 | 修改权限过高的服务二进制路径,重启服务执行恶意代码 | sc 命令、注册表编辑器 | 1. 检查服务权限配置,禁止普通用户修改服务路径2. 对系统关键服务(如 RPC、Windows Update)进行权限加固3. 开启服务变更审计,监控服务配置的异常修改 | |
| 四、持久化控制 | 1. 隐藏账户 / 启动项持久化 | 创建隐藏管理员账户或修改注册表启动项,实现开机自启 | net 命令、注册表编辑器 | 1. 定期审计本地账户和域账户,排查隐藏账户(如带 $ 后缀的账户)2. 监控注册表启动项的变更,禁止非授权程序添加自启项3. 启用账户登录审计,记录所有账户的登录行为 |
| 2. 黄金 / 白银票据持久化 | 伪造 Kerberos 票据,长期控制域内资源,无需重复攻击 | mimikatz | 1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具,检测伪造票据的使用3. 限制域管理员的权限范围,避免权限滥用 | |
| 3. SSH 密钥 / 计划任务持久化 | 植入 SSH 公钥或添加定时任务,实现无密码登录或定期执行后门 | ssh-keygen、crontab | 1. 定期检查~/.ssh/authorized_keys文件,删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计 | |
| 五、数据窃取 & 痕迹清理 | 1. 敏感数据窃取(密码 / 文件) | 提取内存中的密码哈希、下载 NTDS.dit 等敏感文件 | mimikatz、LaZagne | 1. 启用内存保护机制,防止进程内存被读取2. 对敏感文件(如 NTDS.dit)进行加密存储3. 部署数据防泄漏(DLP)系统,监控敏感数据的传输 |
| 2. 日志清理 | 删除系统日志、安全日志,掩盖攻击痕迹 | wevtutil、history 命令 | 1. 将系统日志同步到远程日志服务器,防止本地删除2. 开启日志访问审计,禁止普通用户修改或删除日志3. 定期检查日志完整性,排查日志缺失或篡改情况 |
news
2026/5/23 13:30:30
内网常见攻击手段与防御措施对照表
张小明
前端开发工程师
1.2k
24
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设
2026/5/21 4:45:57
验证码识别
验证码识别 验证码的用途和分类 验证码的作用 验证身份:代表是你在做的 使用手机号/邮箱登录 敏感操作二次验证:异地登录,修改密码,注销等 验证行为: 机器批量操作:投票,抢购,…
李华
网站建设
2026/5/22 2:43:04
用户可随时删除自己在EmotiVoice的历史记录
用户可随时删除自己在EmotiVoice的历史记录 在语音合成技术正以前所未有的速度融入我们日常生活的今天,从智能音箱的温柔问候到游戏角色的情绪爆发,TTS(文本转语音)系统早已不再满足于“能说话”,而是追求“说得动人”…
李华
网站建设
2026/5/23 13:34:00
免费识字 + 手机书写!生字带笔画组词,边认边写记生字
小学生家长直接码住~ 挖到一款免费练字识字神器!软件下载地址 软件完美同步小学 1-6 年级生字表,从一年级到六年级,每学期每篇课文的对应生字都能找到,不用额外找教材,孩子练字、识字直接对标课本…
李华
网站建设
2026/5/22 1:06:24
Kotaemon如何处理复合条件查询?逻辑运算符解析
Kotaemon如何处理复合条件查询?逻辑运算符解析 在金融、法律和医疗等专业领域,用户早已不再满足于“告诉我什么是AI伦理”这类简单问答。他们更常问的是:“找出2023年后发表、被引用超过100次、且主题包含‘大模型治理’但排除综述类文章的论…
李华
网站建设
2026/5/14 4:05:04
Docker镜像
一、Docker镜像介绍1、docker原理:是一种轻量级、可执行的独立软件包,用来打包软件运行环境和基于运行环境开发的软件,它包含运行某个软件所需的所有内容,包括代码、运行时库、环境变量和配置文件2、UnionFS(联合文件系…
李华
网站建设
2026/5/21 17:47:49
3D游戏数学基础指南
3D游戏的数学基础是连接代码逻辑与视觉表现的桥梁。掌握这些核心概念,你将能创造出更精准、流畅和富有表现力的游戏体验。不用担心,我们不需要成为数学家,而是要学会“游戏程序员”式的数学思维。以下是为你梳理的四大核心领域和实用指南。一…
李华