最近不少公司IT同事在问:‘我们想搞一次网络攻防演练,但没人带、没工具、怕搞砸,到底从哪下手?’其实真没那么玄乎——就像学开车得先上空地练倒库,攻防演练也是从摸清自家网络、配好基础工具、定好规则开始的。
第一步:别急着开打,先画张‘家底图’
打开你常用的远程管理工具(比如TeamViewer或向日葵),挨个登录几台办公电脑和服务器,记下IP段、操作系统版本、开放端口(用nmap -sT 192.168.1.0/24扫一遍就行)、有没有启用远程桌面或SSH。重点标出财务系统、OA、数据库这些关键服务在哪台机器上——这张图就是你的‘靶场地图’,打印出来贴工位旁边都行。
第二步:红蓝队不用穿制服,装两套工具就上岗
红队(攻击方)推荐轻量组合:Metasploit Community版(免费,图形界面友好)+ Wireshark(抓包分析)+ Hydra(暴力破解测试)。蓝队(防守方)必备:Windows事件查看器(看登录失败记录)、火绒安全软件日志(查进程行为)、Wireshark过滤HTTP POST流量(盯异常上传)。
举个真实例子:某小公司让实习生当红队,用Hydra试了下OA系统默认密码admin/admin,3秒就进了后台——这比写10页风险报告更让人记住改密码的重要性。
第三步:演练不是黑客大赛,要设‘三不原则’
不碰生产数据:所有测试操作只在克隆虚拟机里跑(用VMware Workstation导出快照就行);不打外网接口:禁止扫描云服务商API、微信回调地址这类第三方入口;不发真实钓鱼邮件:改用内部邮箱发带测试链接的邮件,标题写明【攻防演练-勿惊】。
第四步:实战跑一次‘弱口令渗透’全流程
假设目标是一台Windows Server 2016测试机(IP:192.168.1.100),管理员密码设为P@ssw0rd:
nmap -p 3389,445 192.168.1.100
# 发现3389端口开放 → 尝试RDP爆破
hydra -l Administrator -P /usr/share/wordlists/rockyou.txt rdp://192.168.1.100
# 成功拿到凭证后,用mstsc连接,立刻在桌面新建个txt写‘红队已进入’蓝队这时该干啥?立刻打开该服务器的事件查看器 → Windows日志 → 安全日志,筛选ID为4625(登录失败)和4624(成功登录)的记录,看来源IP是不是内网地址、时间是否集中——发现异常就截图存档,这就是后续加固的直接证据。
第五步:演练完别散伙,留一手‘回马枪’
第二天上午,红队悄悄用刚拿到的账号,远程启动一个隐藏计划任务:schtasks /create /tn "update" /tr "powershell -e ..." /sc once /st 10:00(实际填个无害命令,比如弹个记事本)。等蓝队中午吃饭回来,看任务计划程序里多出个陌生任务——这就逼他们真正去查定时任务、WMI事件订阅这些深层防御点,而不是只盯着防火墙日志。
攻防演练不是秀技术,是暴露真实短板。你家路由器后台密码还是admin?员工电脑还在用Win7?这些细节比任何高级漏洞都更值得优先解决。工具永远只是手电筒,照见问题,才好动手修。