| 攻击阶段 | 攻击手段 | 核心原理 | 典型工具 | 防御措施 |
|---|---|---|---|---|
| 一、信息收集 | 1. 内网存活主机探测(ARP/ICMP 扫描) | 利用 ARP 广播或 ICMP 请求识别活跃主机,无扫描特征或特征弱 | arp-scan、fping、nmap -sn | 1. 部署内网防火墙,限制非授权主机的 ARP 扫描请求2. 开启主机防火墙,拦截异常 ICMP 包3. 禁用不必要的网络协议(如 NetBIOS) |
| 2. 域环境信息枚举(用户 / 组 / DC 查询) | 利用 Windows 域协议(LDAP/SMB)查询域内敏感信息,构建攻击路径 | BloodHound、PowerView、net 命令 | 1. 限制普通用户读取域内用户列表、组信息的权限2. 开启 LDAP 访问审计,监控异常查询行为3. 定期使用 BloodHound 自查域权限漏洞 | |
| 3. 主机信息探测(补丁 / 进程 / 服务) | 读取系统补丁列表、进程、服务配置,寻找未打补丁漏洞或弱权限服务 | WinPEAS、LinPEAS、systeminfo | 1. 建立补丁管理机制,定期更新系统和应用补丁2. 最小化服务权限,禁止普通用户读取敏感进程信息3. 部署 EDR 工具,监控异常信息收集行为 | |
| 二、横向移动 | 1. 哈希传递攻击(PTH) | 利用 Windows NTLM 认证漏洞,直接使用哈希代替明文密码登录其他主机 | mimikatz、Impacket(psexec.py) | 1. 禁用 NTLM 认证,强制使用 Kerberos 认证2. 开启远程主机的 SMB 签名,防止哈希窃取3. 限制管理员账户在普通主机登录,避免哈希泄露 |
| 2. 票据传递攻击(PTT) | 伪造 Kerberos 票据(TGT/TGS),模拟域用户身份访问域内服务 | mimikatz、Rubeus | 1. 定期更换 KRBTGT 账户密码,防止黄金票据伪造2. 开启 Kerberos 票据审计,监控异常票据请求3. 限制票据的有效时间,缩短攻击窗口期 | |
| 3. 远程服务利用(WMI/WinRM/SSH) | 利用开放的远程管理服务,执行命令或获取 shell | evil-winrm、wmiexec.py、SSH 暴力破解工具 | 1. 禁用不必要的远程服务(如 WMI、WinRM),仅在必要主机开启2. 为 SSH/WinRM 设置强密码,禁止密码复用3. 限制远程服务的访问 IP,仅允许管理网段连接 | |
| 4. 漏洞利用(永恒之蓝 / PrintNightmare) | 利用未打补丁的系统漏洞,远程执行恶意代码获取权限 | Metasploit、searchsploit | 1. 紧急修复高危漏洞(如 MS17-010、CVE-2021-34527)2. 部署网络入侵检测系统(IDS),拦截漏洞利用流量3. 对关键服务(如 SMB、打印服务)进行流量监控 | |
| 三、权限提升 | 1. Windows 系统漏洞提权 | 利用内核或服务漏洞,突破用户权限限制,提升至 SYSTEM 权限 | wesng、PrivescCheck | 1. 定期扫描系统漏洞,优先修复权限提升类漏洞2. 限制普通用户的进程创建权限,禁止加载恶意驱动3. 部署应用白名单,仅允许可信程序运行 |
| 2. Linux SUID/sudo 提权 | 利用 SUID 文件或 sudo 配置漏洞,获取 root 权限 | LinPEAS、find 命令 | 1. 定期清理不必要的 SUID/SGID 文件(chmod u-s 文件名)2. 严格配置 sudoers 文件,限制普通用户的 sudo 权限3. 禁止 root 账户直接登录 SSH,使用普通用户 + sudo 提权 | |
| 3. 服务配置错误提权 | 修改权限过高的服务二进制路径,重启服务执行恶意代码 | sc 命令、注册表编辑器 | 1. 检查服务权限配置,禁止普通用户修改服务路径2. 对系统关键服务(如 RPC、Windows Update)进行权限加固3. 开启服务变更审计,监控服务配置的异常修改 | |
| 四、持久化控制 | 1. 隐藏账户 / 启动项持久化 | 创建隐藏管理员账户或修改注册表启动项,实现开机自启 | net 命令、注册表编辑器 | 1. 定期审计本地账户和域账户,排查隐藏账户(如带 $ 后缀的账户)2. 监控注册表启动项的变更,禁止非授权程序添加自启项3. 启用账户登录审计,记录所有账户的登录行为 |
| 2. 黄金 / 白银票据持久化 | 伪造 Kerberos 票据,长期控制域内资源,无需重复攻击 | mimikatz | 1. 定期轮换域管理员和 KRBTGT 账户密码2. 部署 Kerberos 票据监控工具,检测伪造票据的使用3. 限制域管理员的权限范围,避免权限滥用 | |
| 3. SSH 密钥 / 计划任务持久化 | 植入 SSH 公钥或添加定时任务,实现无密码登录或定期执行后门 | ssh-keygen、crontab | 1. 定期检查~/.ssh/authorized_keys文件,删除未知公钥2. 监控 crontab 和系统计划任务的变更3. 对 SSH 登录进行 IP 限制和行为审计 | |
| 五、数据窃取 & 痕迹清理 | 1. 敏感数据窃取(密码 / 文件) | 提取内存中的密码哈希、下载 NTDS.dit 等敏感文件 | mimikatz、LaZagne | 1. 启用内存保护机制,防止进程内存被读取2. 对敏感文件(如 NTDS.dit)进行加密存储3. 部署数据防泄漏(DLP)系统,监控敏感数据的传输 |
| 2. 日志清理 | 删除系统日志、安全日志,掩盖攻击痕迹 | wevtutil、history 命令 | 1. 将系统日志同步到远程日志服务器,防止本地删除2. 开启日志访问审计,禁止普通用户修改或删除日志3. 定期检查日志完整性,排查日志缺失或篡改情况 |
news
2026/3/30 17:45:51
内网常见攻击手段与防御措施对照表
张小明
前端开发工程师
1.2k
24
版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设
2026/3/28 10:52:14
Kotaemon支持Docker部署吗?一键启动脚本已开源
Kotaemon支持Docker部署吗?一键启动脚本已开源 在AI应用快速落地的今天,一个棘手的问题始终困扰着开发者:为什么同一个模型代码,在开发机上跑得好好的,一到测试或生产环境就“水土不服”?依赖版本冲突、系统…
李华
网站建设
2026/3/27 0:51:59
Win空格预览工具!图片 视频 PSD 秒看设计必备神器
宝子们!Windows 党终于不用羡慕 Mac 的空格预览了~ 断更近两年的神器 QuickLook 4.0 强势回归,修复 bug 后更流畅,核心功能依旧能打!软件下载地址 操作超简单:单击选中文件按空格,图片、音频、…
李华
网站建设
2026/3/24 9:42:21
350页pdf!大模型基础教材发布,开源!
大模型技术日新月异,想系统学习却不知从从何入手?面对海量论文、代码和教程,是不是总觉得知识体系零零散散?别慌!今天给大家推荐一本由中国人民大学AI Box团队倾力编写的《大语言模型》中文权威教材,帮你一…
李华
网站建设
2026/3/27 5:31:29
多模态开发新范式:用Gemini 3.0打通“设计-代码-文档”闭环
当设计稿自动变成可运行代码,文档与实现“零时差同步” 一、痛点:割裂的开发流水线 2024年,前端开发者小王的日常工作仍困于“三座大山”: 设计转化难:设计师用Figma交付的UI稿,需手动标注尺寸、颜色、交…
李华
网站建设
2026/3/23 23:52:47
Kotaemon元数据过滤功能在精准检索中的作用
Kotaemon元数据过滤功能在精准检索中的作用 在企业级智能问答系统日益复杂的今天,一个看似简单的问题——“最新的报销政策是什么?”——背后可能隐藏着巨大的技术挑战。如果系统返回的是三年前已被废止的旧文件,或是其他部门不适用的规定&am…
李华
网站建设
2026/3/23 2:47:55
JAVA 程序改错题
文章目录一、程序分析题项目结构分析题01分析题02分析题03分析题04二、程序改错题项目结构改错题01改错题02改错题03一、程序分析题 项目结构 分析题01 1、定义一个二维数组arr,包含3行3列的整数。 2、使用嵌套循环遍历数组,将所有元素加起来。 3、打印…
李华