🕶️ 黑客攻防区：我如何发现僵尸网络、关闭它们并将客户防火墙变成陷阱

15:12 — 喝咖啡。15:13 — 警报响起。15:14–15:31 — 一连串失败的登录尝试填满了我的屏幕。

客户的防火墙——原本安静地守护着网络边界——突然亮起。数百次登录尝试、随机用户名、奇怪的IP地址，只有一个明确目标：侵入他们的VPN。

这不是人为攻击。这是自动化攻击，冷酷而无情。而我只有十五分钟来扭转局势。

第一阶段 — 检测

我的日志开始"歌唱"：

1
2
3
4

15:31:29 — 用户登录因凭据错误被拒绝
源IP: 217.xxx.xxx.xx
目标IP: <客户公网IP>:1443
用户: svcqun

不同的IP，相同的模式。暴力破解。客户在443/1443端口上的VPN门户成了本周的新目标。

我使用的工具

以下所有工具都是防御性的——每个蓝队成员都应该熟练掌握：

• tcpdump / tshark — 确认哪些端口受到攻击
• Wireshark — 可视化TLS握手；发现连接洪水攻击
• Zeek (Bro) — 检测异常会话峰值和登录洪水
• Suricata — 对暴力破解速率流量模式发出警报
• fail2ban — 自动封禁触发过多失败登录的IP
• Splunk / ELK — 在日志中筛选并找出主要攻击者
• nmap (防御用途) — 查看攻击者在公网接口上能看到什么
• 客户防火墙管理控制台/API — 快速创建地址组和拒绝规则

（仅对您管理的网络使用这些工具）

第二阶段 — 遏制

僵尸网络很嘈杂，但可预测。我制定了一个快速遏制措施：

1
2
3
4
5

# 示例概念性命令
Create-AddressObject VPN_Attackers_1 217.xxx.xxx.0/24
Create-AddressObject VPN_Attackers_2 80.xx.xx.0/24
Create-AddressGroup VPN_Attackers_All VPN_Attackers_1,2,...
Add-FirewallRule -Name "block-vpn-bruteforce" -From WAN -To Firewall -Source VPN_Attackers_All -Service

结果：流量直线下降。CPU负载降低。恢复了安静——这是干净边界的甜美声音。

第三阶段 — 加固

火势扑灭后，我们加固了一切：

• 将VPN移出默认端口
• 为每个远程用户强制执行MFA
• 禁用从WAN的管理访问
• 启用Geo-IP过滤以阻止非业务区域
• 自动化fail2ban，直接将封禁信息输入防火墙API

日志从恐慌变成了诗歌。

蓝队战术手册

1. 检测 — 监控日志或SIEM中的重复登录失败
2. 确认 — 使用数据包捕获、Zeek或Suricata进行验证
3. 遏制 — 立即拒绝攻击IP范围
4. 加固 — MFA、端口更改、地理过滤器
5. 自动化 — 将日志与脚本关联（fail2ban、Python API调用）
6. 记录 — 为所有操作添加时间戳；将经验教训反馈给SOC

⚠️ 道德条款

所有这些都用于防御。仅对您拥有或管理的系统使用数据包捕获、扫描和阻止。如果您怀疑存在损害或附带影响，请在行动前升级到SOC或法律联系人。

后续

僵尸网络总会不断探测。它们不在乎你是谁——只在乎你在线。但那天，僵尸网络遇到了一个有爪牙的蓝队墙。客户甚至没有感觉到任何波动。

这就是网络安全的静谧喜悦：当混乱击中日志，而不是用户。