凡是在网络安全圈的人都知道“网络攻防演练”。网络安全以“人”为核心，网络安全领域的对抗本质上是人与人之间的对抗，而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。

在整个网络攻防演练中，会分为攻击队和防守队。攻击队一般会针对目标系统、人员、软件、硬件和设备同时执行的多角度、混合、对抗性的模拟攻击。而防守队面临的更大挑战，是在不对用户造成太多限制的情况下，发现可被利用的漏洞，保护自己的领域。

其中，攻击队的攻击主要分为三个阶段：

🔹 阶段一：情报收集

当攻击队专家接到目标任务后，并不会像渗透测试那样在简单收集数据后直接去尝试各种常见漏洞，而是先去做情报侦察和信息收集工作。收集的内容包括组织架构、IT资产、敏感信息泄露、供应商信息等各个方面。

🔹 阶段二：建立据点

在找到薄弱环节后，攻击队专家会尝试利用漏洞等方法去获取外网系统控制权限，一般称之为“打点”或撕口子。在这个过程中，攻击队专家会尝试绕过WAF、IPS、杀毒软件等防护设备或软件，用最少的流量、最小的动作去实现漏洞利用。

当攻击队专家找到合适的口子后，便可以把这个点作为从外网进入内网的根据地。通过frp、ewsocks、reGeorg等工具在这个点上建立隧道，形成从外网到内网的跳板，将它作为实施内网渗透的坚实据点。

🔹 阶段三：横向移动

进入内网后，攻击队专家一般会在本机以及内部网络开展进一步信息收集和情报刺探工作。同时对内网的其他计算机或服务器的IP、主机名、开放端口、开放服务、开放应用等情况进行情报刺探。再利用内网计算机、服务器不及时修复漏洞、不做安全防护、同口令等弱点来进行横向渗透扩大战果。

对于防守队来说，高素质且经验丰富的人是第一要素，当然我们也不能忽略工具的重要性，因为防守队的功效基于收集和利用数据的能力。事实上，防守队的队员还是相当被动的，毕竟身在明处，我们经常见到防守队的队员们，在演练过程中，死死盯住监控的屏幕，一刻也不敢松懈。

队员们之所以盯住屏幕不放，是想通过对数据的变化及时发现异常，但是效果甚微，往往发现异常的时候，就已经迟了。针对这个问题，派网新推出一个新的功能，可以自动发现网络中的异常用户以及异常应用。

通过上文对攻击队攻击的主要思路分析，我们可以知道，防守队重点关注的问题有以下两个点：

1） 是否有非法的IP地址在尝试和内网产生连接，因为攻击队会想尽一切办法从外网侵入内网找到一个跳板，并会与内网设备建立连接；

2） 是否有非法的协议出现在内网环境中出现，因为攻击队会通过跳板入侵内网设备，必将产生异常的应用。

我认为派网最大的作用莫过于解放防守队队员的双眼，让队员们有充分的时间去做做眼保健操。真正帮助防守队队员的正是这可以在大屏幕上自动弹出的告警，一种针对非法用户以及异常应用的出现的及时告警。

在Panalog上可以针对IP地址以及具体的协议进行白名单创建。 

如果网络中出现了白名单以外的IP地址或是协议，大屏幕会自动弹出告警信息。

看似简单的需求，实际上在传统的安全防护产品来说，并没有有效的解决方法。传统的安全产品，坚持的安全理念是“抓坏人”。就像在一栋大楼门口，安排多名保安，凡是进出门口的人员必须经过保安检查，凡是黑名单上的人不允许通过。然而攻击队不会傻到，在自己脑门上写上“坏人”两个字，轻易的让防守队发现。对于伪装后的异常流量，这种靠病毒库“抓坏人”的方法显得捉襟见肘。

而派网的安全理念完全不同，我们使用的是“七层白名单”技术，我们会把每一个人每秒钟所做的每一件事全部记录并呈现给我们的客户。无论病毒还是正常流量，在我这里都可以轻松区分，从而来帮助客户实现对网络流量的监控和管理。又由于我们是根据七层特征去识别流量，那些冒充正常端口号的病毒，也无法逃过我们的检查。

从不放弃网络中任何一个细节，实现记录每个IP每时每刻每个session，这就是派网在网络安全中的价值。

 数据精准识别带来的好处不可言喻，伪装的再成功的威胁报文，通过Panabit也能一一发现。想伪装成DNS等正常协议进出网络，连门也没有。

派网的动态大屏可以在整个攻防演练中起到最后一道安全屏障的作用并且可以帮助防守队及时发现问题。

FlowMonitor动态流量监控大屏展现优势。不仅仅是炫酷的动画，FlowMonitor的使命是为了让运维人员更加直观的看到问题。

如图可知，左半部分重点列举了常见的DDoS攻击的报文，如SYN、SSDP、NTP、MSDS（445端口）等信息，如果有攻击出现，轻松发现。（这里记录了内、外两个方向的DDoS攻击行为，一定要注意的是，内对外攻击也可以拖垮防守方的出口设备，瘫痪服务）。

中间地图部分可以看到上下行流量的业务流向，同时通过蓝黄红三种颜色，来表示流量的大小。上下分别显示当前的流量以及连接数信息。

右半部分可以查看到热点应用和热点协议的排名、访问量，同时可以看到用于最终落地的服务器所属运营商的占比。

其中，具有特色的功能模块有：

•  热点域名：实时观察当前用户访问域名的TOP5；

•  用户分布：IP轨迹热力图，可以通过鼠标缩放和移动地图位置；

•  DNS用户：实时观察用户使用DNS的频次，如果有异常，马上就会呈现出来；

•  新增域名：对比10分钟之前的域名，将新增的域名展示，并显示新增域名的访问次数；

•  未知应用端口：及时发现网络攻击，当出现未知流量（包含畸形的常见端口号报文，如53端口的报文，会判定是否为正常的DNS流量）过大时，会呈现在此界面上；

•  文件下载：针对校园网用户，可以判断是否存在异常下载时间发生；

•  热点IP：可以清晰呈现TOP10 用户的上下行流量和连接数信息；

•  威胁情报：采集到的异常域名、URL、IP地址会自动显示，并按照访问次数从大到小排名；

•  增加世界地图选项；

•  支持具体协议的流量流向显示。

这样一来，我们可以在中国地图和世界地图任意切换并且可以选择某个具体的协议或是应用进行监控。

ServerMonitor是内网设备管理的系统，可以帮助防守队针对内网的设备进行资产管理以及流量态势感知。

1）从左半部分我们可以直接看到内网的资产数量，访问的用户数量以及内网的域名数量，同时观察到出口整体上下行流量以及连接数的趋势，无论是对外提供服务的服务器，还是对内访问的用户，都针对其上下行流量、连接数进行监控。

• 热点资产：表示当前数据中心或是内网被访问的IP地址排名（基于流量和连接数排出TOP 10）；

• 热点用户：表示当前访问数据中心或是内网的外网用户IP地址排名（基于流量和连接数排出TOP 10）。

2）中间部分可以看到世界地图以及中国地图，其中：

• 全球访问：表示访问数据中心或是内网的源IP地址所在的世界地理位置。这是基于网络流量会话的世界地图，需要注意源地址地理位置。例如：平日内来自于非洲访问服务器连接比较少，突然有一天，这个数值变大，需要重点关注；

• 国内访问：表示访问数据中心或是内网的源IP地址所在的国内陆理位置。这是基于网络流量会话的中国地图，需要注意源地址地理位置。例如：平日内来至于新疆访问服务器连接比较少，突然有一天，这个数值变大，需要重点关注。

3）右半边主要展示，对外提供服务的域名、应用的流量以及连接数情况，有新出现域名或是端口号都可能是攻击的信号，而资产时延则表示数据中心或是内网被访问的服务器的应用时延（可简单理解为服务器自身处理数据的时延），通过此模块可以快速判断哪些资产服务器的自身响应出现了问题。

去年我们在为某电力客户进行攻防演练中，在其他安全设备没有任何感知的情况下成功发现并阻断掉两次攻击队攻击，整个事件过程如下，正是凭借派网出色的应用识别能力，没有放过任何蛛丝马迹，保证了防守队顺利完成任务。

最后说下一个最重要的好消息，派网在网络攻防演练期间，提供测试License应对攻防，欢迎扫描下方二维码申请。