网络安全防护与威胁应对手册.docxVIP

网络安全防护与威胁应对手册

第1章网络基础架构与安全评估

1.1网络拓扑结构与流量分析

网络拓扑图是理解网络内部逻辑的“地图”，在实战中，管理员应使用Visio或Genie绘制包含物理交换机、路由器、防火墙及安全设备的拓扑图，并标注VLAN划分、IP子网及关键链路，确保物理连接与逻辑隔离一致。流量分析需结合Wireshark抓包工具，对核心业务流量进行深度解析，重点观察TCP三次握手、SYN包状态及DNS查询记录，识别异常的大流量突增或特定IP的异常连接行为。

在流量分析中，需关注HTTP协议的HEAD请求与GET请求的区别，通过检查URL参数（如?id=1contact=1）来定位潜在的SQL注入或XSS攻击源。对于高并发场景，应利用NetFlow或sFlow数据，统计每秒包数（pps）、字节数及端口分布，判断是否存在流量洪峰，从而评估网络带宽的承载能力。结合ARP欺骗攻击特征，分析ARP缓存表项的更新频率，识别同一局域网内存在多个IP地址的“中间人”攻击，并追踪被攻击的终端主机。

流量分析应包含对加密流量（如）的解密分析，提取出隐藏在内网的敏感数据流量，以便在合规审查时确认是否已进行脱敏处理。

1.2资产清单识别与分类分级

资产清单识别应涵盖硬件设备（如服务器、存储阵列）、软件