N1 技术心得 2019-6-26

技术心得

一、安全设备防护的理解

1.从事安全行业，为企业进行防护，必然是不可缺少防火墙的。

Web应用防火墙，简称WAF。这种防火墙只针对Web应用进行防护，是处在应用层的防火墙。

而在应用层之下，进行系统性的防护，不仅仅需要网络层防火墙的防护，还需要入侵检测技术IDS和入侵防御技术IPS进行支撑。

2.WAF有多种连接方式。

通常使用的是串联的代理部署方式，串联使用的WAF可以对攻击进行防御。

旁路部署通常只能记录攻击，而不能阻拦。除此之外还有反向代理部署。

3.IDS与IPS的连接方式

IDS则需要旁路部署连接，IDS提供服务器受攻击的记录功能。

IPS则是可以串联部署以及旁路部署。串联部署可以防御黑客攻击，而旁路则功能与IDS相同。

二、通过Burpsuite抓包的方式批量提交WAF的ACL封禁策略

WAF作为防火墙，必然是会有防火墙所拥有的ACL封禁策略。WAF识别攻击并防护会消耗安全设备的资源，所以为了减少资源的消耗，也为了避免同一个IP使用多种手段攻击，我们就可以将已经识别出来的攻击者的IP提交到ACL封禁策略上，只要这个攻击者的IP访问，就直接拒绝。这样，即节省了防护设备资源的消耗，提升防护性能。也可以避免该IP再次攻击。

有的时候就会出现这种情况，大量的IP在极短的时间内进行攻击。我们希望将这些攻击全部封禁掉，但WAF设备提供的图形化界面不存在批量封禁的功能。面对上百个IP，手动封禁自然是头都要炸了。

而我们不妨用另一种想法去看待这个事情。我们安全人员提交ACL封禁策略，一个IP，一个IP的频繁提交。和攻击者通过刷字典暴力破解的方式一个账号一个密码的频繁尝试。道理多么的相似。

想到这里，我就动手去尝试。我用Burpsuite代理的方式打开了WAF的管理界面，打开IP访问控制，在ip访问控制界面手动提交了一个IP地址。果不其然，在Burpsuite上抓到了这个包。将这个包传到Intruder模块。于是，我通过WAF访问日志统计的功能，将攻击IP地址批量导出，写进了一个txt文本里。作为Payload的字典，Start attack。

就是这样轻轻的一次点击，将我几个小时的工作量硬生生压成了3分钟。看着已经成熟，并且学会自己封IP的WAF，我不禁露出了老父亲般慈祥的微笑，生活可能就是这样平淡而又愉快。

三、通过修改WAF数据包cookie提交ACL封禁策略

自从采用了这种批量封禁的方式，我的生活变得越来越轻松。但好日子总是那么的短暂。在WAF封禁的IP数量达到5000个个时候。我发现了另一个问题。当时我的操作流程是这样的：

登录Burpsuite→登录WAF→手动提交一个IP封禁→抓到包修改payload→写字典→Start attack

在最初ACL中的IP还很少的时候，我手动提交一个IP封禁只需要1分钟。但在IP达到5000这个规模的时候，每一次进入IP访问控制界面等待的时间就需要10分钟，提交需要5分钟。所以就导致我手动提交一个IP封禁的时间达到了足足15分钟。按这个样子工作，等封禁完怕是黄花菜都要凉了。

于是我就在想，我为什么不能用前一天抓到的包去批量封禁呢？于是我就将抓到的包存进一个word文档里面，第二天复制到Burpsuite再次使用，发现貌似不能使用了。这让我很头疼，因为我又要去重新抓包了。于是我又抓了一个新的数据包。我将两个数据进行对比。发现两天的数据包除了Cookie的数值不同之外，其他部分都是一样的。这就让我会心一笑。

知道了这个情况之后，我的心里十分感慨，我的好日子终于又回来了。于是我改变了以前操作流程：

登录Burpsuite→登录WAF→查看找到包的Cookie→修改包的内容→写字典→Start attack

这样，王子和公主过上了幸福的生活，我看着已经成熟，并且学会自己封IP的WAF，我不禁露出了老父亲般慈祥的微笑，生活可能就是这样，平淡而又愉快。

四、通过Burpsuite在选课网站抢课。

又到了一学期一次的选课了，作为一个对学习环境要求都十分高的人，如果老师不够博（zhang）学（de）厚（hao）德（kan），我是不会选的。于是果不其然，因为老师非常优秀，我被踢了。但我就十分的不开心了，如果不能和喜欢的老师一起上课，这个课还有什么意义。于是，我开始在选课窗口点击选择老师，选择赵老师，选择是否要书本，选择是，点击提交。选课网站告诉我，您选的课程已满（你喜欢的老师被别人抢走了，衰仔）。点了三四次，每次都要3-4秒钟，这就让我很不开心，点快了网站告诉我三秒防刷。心里一万个羊驼奔跑而过。于是我又干起了用Burpsuite抓包的行当。

我打开了选课网站，手工选择了一次课程。发现果不其然，Burpsuite帮我抓到了这个崽（数据包）。发送到Repeater，gogogo。

发现反馈的信息是您选的课程已满，我一秒钟点了三次，发现返回了三次选课已满的提示。这就说明三秒防刷已经拦不住我的狼子野心了。于是我就不停的点击GO，点了1分钟，发现手都要酸死了。我想，不就是点这个按钮嘛，我写个脚本，让他自己点吧。用了一分钟写了一个脚本，让他自己去玩GO这个按键。我去一旁吃了把鸡，回来一看，果然是选上了。我看着已经成熟，并且学会自己选课的选课网站，我不禁露出了老父亲般慈祥的微笑，生活可能就是这样，平淡而又愉快。后来又想了一下，鼠标连点器也可以代替脚本呀，算了管他呢，呵呵呵。