小伙伴们好，我是燕归来，坚信很多朋友都阅过本全系列的前代蓝队实战演练防御技术（一），前作以1次开展的蓝队防御实例做为开展，引出来一连串的要点及渗透时的某种小Tips。而最近由于有关政策法规，我们不能再以开展防御实例做为解读，因此文中将以防御构思为主导开展解读，尽可能以本地环境再现，望各位原谅。做为本全系列的续章，期待还可以朝向蓝红两方开展解读，在开展某种攻击方式剖析时，一样也会引发防御方针对攻击的思索。红蓝对抗的的作用也恰好是在这类持续的攻击下持续找寻防御的均衡点，故不明攻，安知防。

文中仅做安全科学研究的作用，切忌违法违纪。坚信了解蓝队的朋友，可以看出，上边这条指令在平时渗透中，开展登陆应用会常常应用，由于他不分派伪终端设备的方法而不易被w和last等指令纪录。因此在某种情况下，假如防御方在上机操作清查时，仅查询日志发觉沒有出现异常登陆，却沒有注意到是不是具有出现异常数据连接时，便会判定为乱报，给网络攻击机会。依据图中，各位还可以见到沒有其他的登陆信息内容，一样lastlog也不会纪录此次登陆情形。那样这类方法没有办法清查吗？实际上没有的，由于网络攻击在接入22端口时，并没有沒有迹象，只需接入SSH端口就肯定具有纪录。如下图，大家从dstat及其ss指令结果中发觉了连接网络的恶意网络ip，那样这儿留1个疑惑，网络攻击还有什么办法还可以避开那样的清查方法呢？实际上，在全国各地HW中，普遍的藏匿个人服务器网络ip的方法有很多，比如：肉鸡代理数据流量、http代理、基本藏匿设备等方式。而在攻击追溯的环节中，防御方依据攻击肉鸡服务器获得管理权限进而追溯网络攻击信息内容的方式屡试不爽，除非是网络攻击想要在拿到肉鸡管理权限后长时间维系，要不然某种水平很好的追溯人员也能依据一样的方法拿到管理权限追溯攻击源，自然极少有网络攻击想要花费时间成本费用在一个肉鸡上，大部分全是用1次换个。

可是必须认可，直到现在，肉鸡依然是十分合理的藏匿及攻击方式。现阶段的内网渗透中，目前市面上拥有很多各式各样的发包工具，比如：pv、tc、pd、venom、regeorg这种，依据不一样的情景应用的协议也不尽相同，也是有dns地址、ICMP、RDP这种非传统协议代理的软件。可是这种发包工具大部分都被某种杀软和态感所敏感，大部分在非免杀情况下便是落地被杀。因此也更为建议各位应用某种系统内置的软件开展代理数据流量，比如：SSH隧道代理，Windowsnetsh、iptables等。此段将主要解读SSH隧道代理的Tips。