战斗在每一间房屋、每一片瓦

时间：2022-03-23 21:09:01 | 来源：行业动态

时间：2022-03-23 21:09:01 来源：行业动态

斯大林格勒战役还有第三个启示。

受到极寒天气影响，德国人在进攻莫斯科的时候遇到了严重的补给困难，机械化部队难以发挥作用，士气也非常低落。尽管苏联军队在莫斯科城下挫败了德国人的进攻，但依然没有扭转敌强我弱的局面。

因此，面对德国人向斯大林格勒发起的夏季攻势，想要复制莫斯科的胜利，把德军拦在城下是非常困难的，打巷战几乎无法避免。

巷战是惨烈的，但防守方在面对优势敌军时，很多时候却不得不如此。

就像不能迷信边界防御一样，做好了战前准备，就以为服务器安全可以高枕无忧。要能够在服务器内部的每一个角落，随时同攻击行为展开巷战。尤其是在攻防演习这种战时状态，面对攻击方高频度的攻击行为和变幻莫测的攻击技巧，单纯的资配漏补很难奏效，必须要利用技术手段与攻击方做持续对抗。

巷战有一个明显的特点：未知性，你不知道敌军会从哪一片墙后面突然跑出来给你一枪。想要占据主动权，实时掌握敌军视野，并适时发起局部进攻非常重要。喜欢玩游戏的人都知道，不管是FPS、RPG还是MOBA类游戏，拥有全图视野是多么爽。

云锁另外一个强大的功能，就是通过布满服务器内部的眼睛，帮防守方开全图视野。业界习惯把这双眼睛叫做探针。

云锁的探针有四种。

第一种是IN-APP WAF探针。它的工作原理和普通WAF类似，部署在Web应用上，监控所有进入Web应用的流量。一旦发现坏人混迹在正常流量中，即可发出告警。它的优势在于，云锁对于加密流量（可以理解为伪装后的坏人）检测能力更强。

第二种RASP探针。RASP中文全称是应用运行时自我保护，其目的在于让应用程序拥有自我免疫和防御的能力。它主要的主要能力是hook网络流量，细粒度的监控应用脚本的行为及函数调用上下文信息（程序员都懂的），及时发现恶意代码和漏洞利用行为。

说点大白话。假如云锁发现躲在墙后的敌人举枪向你瞄准，他就会通知你危险并及时躲避；假如云锁发现敌方通信兵和长官通话，它会通知你敌方通信兵可能正在汇报你方部署情况，要及时干掉他。也就是云锁从敌方肢体语言（在IT环境中就是机器语言）中发现危险信号，为你下一步反制行动提供参考。

第三种是内核加固探针。内核到底是什么？简单来说就是底层环境，也就是操作系统、内存这些东西。攻击者在服务器内每发起一次攻击行为，就会在内核上留下一些痕迹（当然攻击者也可以清除痕迹），就像敌人每走一步就会在地上留下脚印，每开一枪就会留下弹壳一样。云锁的内核加固探针就是在系统层，通过观察这些痕迹来进行黑客行为画像，监控攻击者的攻击行为。

同时，这个内核加固探针还能起到为内核加固的作用，增强操作系统自身对抗黑客攻击和恶意代码的能力，限制漏洞利用后的下一步行为。不然攻击者不知道从什么地方打个地道跑到我后面，岂不是满盘皆输？

第四种是Webshell动态检测探针。针对Web服务器有一种非常常见的攻击类型叫Webshell攻击，它是一种后门文件，攻击者将其上传到服务器后，就通过运行它获取控制服务器的权限。但通常而言，Webshell文件并不会在自己脑门上写着坏人俩字，相反还会进行各种伪装、加密，防守者可能直到被拿站了才恍然大悟。

那怎么办？还记得《亮剑》里老李让国民党暂七师师长常乃超跑那五公里吗？当时常乃超被俘后混在普通俘虏中，最后因为跑不动五公里露馅了。没有那五公里，就没有后来南京军事学院的常教员。没有常教员的润色，老李的毕业论文可能也没有那么气壮山河。

话说回来。云锁也会进行全盘扫描，把包括Webshell在内的脚本文件扔到沙箱里跑五公里，一旦发现非法行为就标记出来，并把检测结果同步给WAF和RASP探针，下次再发现一样的脚本文件，直接干掉就行了。