目录

Web服务器&应用服务器差异性

WAF防火墙&安全防护&识别技术

蜜罐平台&安全防护&识别技术

思维导图

---

章节知识点

Web：语言/CMS/中间件/数据库/系统/WAF等

系统：操作系统/端口服务/网络环境/防火墙等

应用：APP对象/API接口/微信小程序/PC应用等

架构：CDN/前后端/云应用/站库分离/OSS资源等

技术：JS爬虫/敏感扫描/端口扫描/源码获取/接口泄漏等

技术：指纹识别/Github监控/CDN绕过/WAF识别/蜜罐识别等

通过对端口扫描可以判断出对方服务器的服务类型

中间件分为两类：Web服务器，应用服务器(比前者多开放一个端口，比如Tomacat:8009等)

端口扫描：Nmap、Masscan、网络空间
开放状态：Close Open Filtered
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan
使用参考：
https://blog.csdn.net/qq_53079406/article/details/125266331
https://blog.csdn.net/qq_53079406/article/details/125263917
编译masscan：https://www.cnblogs.com/lzy575566/p/15513726.html
考虑：1、防火墙 2、内网环境
内网环境可能出现情况：明明数据库端口开的，网站也能正常打开，但是你对目标进行端口扫描，发现数据库端口没有开放（排除防火墙问题）

因为扫描的是对方Web服务在内网中，与外界通讯通过网络出口，网络出口服务器没有开放相关端口，导致端口扫描与情况不符

Nmap扫描

配置中：Quick scan plus是快速扫描，intense scan all TCP ports 是全部端口扫描

Masscan扫描

在目录下直接输入cmd，进行调用语法：

测试一个至多个端口是否开通：masscan.exe -p 3307 47.75.212.155

测试多个端口：masscan.exe -p 1-65535 1.15.51.4

网络空间：直接查询即可

常见的蜜罐

蜜罐数据特征

识别技术：
0、测试
大概了解组成功能等
https://hfish.net/#/

1、项目
项目识别
https://github.com/graynjo/Heimdallr
https://github.com/360quake/quake_rs
quake.exe init apikey值
quake.exe honeypot 目标

2、人工
*端口多而有规律性
*Web访问协议就下载
*设备指纹分析（见上图）

3、网络空间
鹰图，Quake

蜜罐（Honeypot）是一种安全机制，其原理和特点为：

• 引诱攻击： 蜜罐的主要原理是通过模拟目标系统的弱点或敏感区域，吸引和引诱攻击者。蜜罐可以模拟各种服务和应用，如Web服务器、数据库、邮件服务器等，使其看起来像是真实系统。
• 数据捕获： 一旦攻击者对蜜罐进行攻击，蜜罐会记录和捕获攻击行为的详细信息，包括攻击者的IP地址、攻击手段、使用的工具等。这些信息对于分析攻击者的行为和提高网络防御水平非常有价值。
• 学习和改进： 蜜罐可以用于学习攻击者的新技术和手段。通过分析蜜罐收集到的数据，安全团队可以了解到新型威胁的特点，并相应地改进网络防御策略。
• 欺骗和误导： 蜜罐可以欺骗攻击者，使其浪费时间和资源在虚假系统上。这有助于减缓攻击速度、提高检测准确性，并增加攻击者被发现的可能性。
• 实时监控： 蜜罐可以用于实时监控网络上的攻击活动。通过在网络中分布蜜罐，可以提前探测到潜在的威胁，从而更及时地采取防御措施。
• 早期警告： 蜜罐可以在攻击者尚未对真实系统造成实质性危害之前提供早期警告。这有助于组织及时采取行动，防止潜在的风险。

360夸克项目识别蜜罐：

• 安装：解压后在目录下cmd启用quake.exe
• quake.exe init apikey值（api值需要注册360网络空间获取360网络空间测绘 — 因为看见，所以安全
• 使用语法：quake.exe honeypot 目标

思维导图