一个朋友在奔驰，据说他们今年要裁员10%，这都不重要，看看他们的赔偿：

按照标准赔偿方案是 N+6；

如果马上签署相关协议，则是 N+6+3；

而如果在 2 个月内还没找到新工作的话，赔偿会达到 N+6+3+2。

面对这样的赔偿条件，恐怕没人会拒绝被裁了吧。

今日招聘信息

迪普，一家老牌的网安厂商；投递简历地址：

https://zhaopin.dptech.com

网络安面试题库截止目前已更新68篇，近16w字，里面包含了网安的职业规划、面试准备篇幅、学习方向、求职名单、应届生面试题库、应届生笔试题库、国内外安全企业介绍、以及社会背调等。文末有彩蛋

面试中应急溯源的问题肯定是跑不了的，快来看看这几个题你会不会，更多的内容看星球哈。

1. 攻击者使用云函数（如AWS Lambda）隐藏IP，如何溯源？

答案：

• 流量特征识别：云函数IP通常属于云服务商ASN（如AS16509），且HTTP请求头包含Server: Server等特征。
• 合法工单投诉：向云厂商提交滥用报告（含攻击时间、API网关ID），要求提供函数创建者账号信息。
• 代码泄露利用：若攻击者配置错误导致云函数代码公开，下载代码分析环境变量（如数据库密码），进一步渗透攻击者资产。

2. 如何通过蜜罐实现主动反制？

答案：

• 蜜罐类型选择：
• 低交互蜜罐（如Honeyd）：快速部署伪造服务（SSH、RDP），记录攻击者IP、口令字典。
• 高交互蜜罐（如Conpot）：模拟工控系统，诱导攻击者上传工具，捕获恶意软件。
• 反制技术：
• 漏洞反打：在蜜罐中植入浏览器漏洞（如IE CVE-2021-26411），当攻击者管理端访问时获取其控制端IP。
• 凭证钓鱼：伪造数据库配置文件，内含伪装的Redis地址，窃取攻击者服务器访问权限。

3. 如何从Cobalt Strike流量中溯源团队服务器（Team Server）？

答案：

• 指纹提取：
• JA3/JA3S指纹：Cobalt Strike默认使用TLS 1.2，JA3指纹固定（如72a589da586844d7...）。
• 证书特征：查找证书中Organizational Unit字段为Penetration Testing的服务器。
• 被动DNS监控：捕获Beacon的DNS请求（如xxx.aaa.pub），解析域名历史记录定位IP。
• C2协议漏洞：利用CS 4.7以下版本的RCE漏洞（如CVE-2022-39197），反向攻击Team Server。

4. 如何通过内网横向移动痕迹溯源攻击者？

答案：

• 日志关联分析：
• Windows事件ID 4624（登录成功）：筛选非授权账号的NTLM登录记录，提取源IP。
• WMI日志（Event ID 5861）：检查攻击者执行的远程命令。
• 工具特征检测：检测Mimikatz、Impacket工具的内存特征（如进程加载sekurlsa.dll）。
• 流量镜像：在内网核心交换机镜像SMB/RDP流量，定位横向移动的源主机IP。

5. 护网中发现社工钓鱼攻击，如何快速处置并反制？

答案：

• 钓鱼页面分析：
• 克隆钓鱼页面，修改表单提交地址至可控服务器，收集攻击者输入的账号密码。
• 部署WAF规则拦截钓鱼域名访问，阻断攻击链。
• 反向社工：
• 利用攻击者注册钓鱼域名时遗留的WHOIS信息，社工其关联账号（如LinkedIn、GitHub）。
• 伪造虚假情报诱导攻击者访问蜜罐链接，触发0day漏洞获取控制权。

星球介绍

一个人走的很快，但一群人才能地的更远。吉祥同学学安全这个成立了1年左右，已经有300+的小伙伴了，如果你是网络安全的学生、想转行网络安全行业、需要网安相关的方案、ppt，戳快加入我们吧。系统性的知识库已经有：++++++++