工具--探针
一、通用核心定义探针是采集 / 探测工具、程序、硬件或组件作用类似网络里的「传感器 / 摄像头」通过主动发包探测、被动采集流量 / 日志 / 系统状态把数据汇总给后台平台分析分运维监控、网络安全、红队渗透、云原生四大场景做网安攻防会高频接触。二、分场景详细分类1. 蓝队防守安全 / 态势感知探针企业防护用1流量探针硬件 / 旁挂交换机部署接交换机镜像口不串业务零影响线上流量功能抓全网原始数据包解析 HTTP/HTTPS/DNS 流量识别端口扫描、挖矿、暴力破解、数据外传、APT 攻击留存流量包用于事后溯源取证产品深信服 / 绿盟 UTS 综合威胁探针、TAP 流量分光硬件2主机探针Agent 软件装服务器 / Windows 机器部署系统内后台进程Wazuh、EDR 主机安全探针功能监控进程启动、文件篡改、账号登录、命令执行、内网外联拦截勒索病毒、异常提权、恶意脚本你之前操作的政务内网服务器大概率部署了这类探针会记录你的 curl 下载、文件解压行为3日志探针采集防火墙、堡垒机、MinIO、服务器系统日志统一上送到态势平台满足等保日志留存合规要求。2. 运维监控探针业务稳定性K8s 容器探针存活探针 Liveness、就绪探针 Readiness定时访问容器端口容器卡死自动重启监控探针Prometheus Exporter采集服务器 CPU、内存、磁盘、接口响应耗时监控模型下载服务MinIO运行状态链路探测探针ping/tcping 定时检测端口连通性排查你之前遇到的 443 端口连不上、域名解析失败问题3. 红队渗透 / 信息收集探针攻击侦查用你攻防学习重点1Web 探针一句话木马 / 探针脚本常见phpinfo.php、asp探针、aspx探针上传到目标网站后访问一键获取 服务器操作系统、Web 中间件版本、数据库账号、目录路径、可读写目录、启用危险 HTTP 方法PUT/DELETE快速判断漏洞利用条件风险生产站出现未授权探针文件属于高危漏洞蓝队会直接告警溯源上传者2指纹探测工具Nuclei、ObserverWard俗称「扫描探针」内置数千条规则模板主动发包探测目标端口、服务、CMS 版本匹配对应 CVE 漏洞比如扫描 MinIO 服务是否存在未授权访问漏洞。3硬件隐形探针红队内网测绘PhanTap 等无源 TAP 设备无 IP、不产生日志旁路抓取内网流量不会触发主机探针告警用于长期潜伏收集业务接口、内网资产信息4. 简易区分表格类型使用方核心目的是否产生日志态势流量 / 主机探针蓝队 / 运维监控、告警、防守溯源全程记录所有操作Web / 漏洞扫描探针红队 / 渗透测试信息收集、寻找漏洞会被目标探针捕获留痕K8s / 监控探针运维保障业务稳定运行仅记录性能指标三、补充通俗类比流量探针 机房监控摄像头看全网所有网络来往主机 Agent 探针 电脑后台监控记录你敲的每一条命令、打开的文件Web 探针 偷偷放在目标网站的「信息查看器」一键扒光服务器配置漏洞扫描探针 自动化侦查机器人批量扫全网找漏洞。探针分四大场景详细讲解按顺序运维监控 → 网络安全 → 红队渗透 → 云原生附实操案例一、运维监控场景探针保障业务稳定面向运维工程师1. 核心定义运维监控探针是主动 / 被动采集服务器、中间件、数据库、网络链路运行指标的轻量程序持续上报数据到监控平台Prometheus、Zabbix、Grafana用来提前发现卡顿、宕机、磁盘爆满、接口超时保障业务不间断运行。2. 细分类型 实操场景1主机指标探针Exporter代表工具node-exporterLinux 主机、windows-exporterWindows 服务器采集内容CPU 使用率、内存占用、磁盘读写、磁盘剩余空间、网络出入流量、系统负载、开机时长实操案例 政务内网 MinIO 存储服务器部署 node-exporter 探针每 15 秒采集一次磁盘容量指标当模型文件持续上传导致磁盘剩余低于 10% 时Grafana 自动推送钉钉告警运维提前扩容避免你下载模型时服务崩溃。部署方式后台常驻进程监听本地端口监控平台定时拉取指标。2业务组件专属探针针对中间件、数据库、对象存储定制采集器minio-exporter采集 MinIO 桶容量、文件上传 / 下载 QPS、接口响应耗时、存储读写错误对应你之前 curl 下载模型的业务链路mysql-exporter数据库慢查询、连接数、缓存命中率nginx-exporter网站访问量、4xx/5xx 错误请求数实操你之前访问xdhjg-sthjjj.hzyuhang.cn超时minio-exporter 探针会记录该接口响应延迟突增运维通过监控面板直接定位存储服务卡顿。3链路探测探针拨测探针主动模拟用户请求检测网络连通性、服务可达性工具Blackbox Exporter、Shell 定时脚本探测方式TCP 端口连通、HTTP/HTTPS 访问、DNS 解析、ping 包实操匹配你的报错场景 运维部署拨测探针定时访问 MinIO 域名 443 端口当出现Could not connect端口失败、Could not resolve host解析失败时监控立刻触发告警提前发现内网 DNS 故障、存储服务离线问题。4日志采集探针代表Filebeat、Logstash作用实时采集服务器系统日志、MinIO 访问日志、curl 操作命令日志汇总到 ELK 日志平台实操你在 Windows 执行 curl 下载文件服务器端 Filebeat 探针会抓取 MinIO 的访问日志运维可以查看到所有文件下载记录、访问 IP、请求时间。3. 运维探针核心特点权限低、无入侵性仅读取运行指标不会修改业务文件核心目标提前预警故障、事后定位性能瓶颈几乎所有政企内网、云服务器强制部署属于基础运维标配。二、网络安全场景探针蓝队防守、等保合规面向安全运维 / 态势感知工程师1. 核心定义安全探针是内网安全感知的 “传感器”分为硬件旁路探针、主机 EDR 探针、日志审计探针全程监控内网流量、主机行为、外联访问识别攻击行为、违规操作满足等保 2.0 日志留存、入侵检测要求政务内网强制全覆盖。2. 细分类型 内网实操案例贴合你政务内网环境1旁路流量硬件探针TAP 分光 / 镜像探针部署方式物理硬件接入核心交换机镜像口不串入业务流量零延迟抓取内网全部原始数据包识别能力解析 DNS 请求、HTTP/HTTPS 明文流量、端口扫描、暴力破解、横向渗透、内网外联异常实操匹配你的操作 你在内网执行 curl 访问外网域名xdhjg-sthjjj.hzyuhang.cn交换机镜像探针会捕获这条 HTTPS 流量内网规范禁止办公机直接外联公网存储探针识别后立即推送高危外联告警给安全管理员。 同时你遇到的 DNS 解析失败请求nslookup也会被探针完整记录审计可追溯。2主机安全探针EDR/Wazuh Agent安装在每台电脑 / 服务器后台常驻程序深度监控本机所有行为是政务内网最核心的监控探针采集监控内容终端命令执行PowerShell curl、解压、wget、文件新增 / 删除 / 修改、账号登录、进程启动、外联 IP、脚本运行、注册表篡改实操场景你执行curl.exe -L下载 gz 模型压缩包Wazuh 主机探针会记录完整命令、下载文件路径、文件哈希值若上传未知 exe 脚本、批量访问外网、解压可疑压缩包探针直接拦截并上报安全平台服务器出现挖矿程序、远控木马时探针捕获异常进程自动隔离主机。3日志审计探针采集防火墙、堡垒机、DNS 服务器、MinIO、OA 系统全量日志统一汇总态势平台日志留存 6 个月满足等保要求。实操内网 DNS 服务器yh-dc-01.yuhang.gov.cn所有域名查询记录全部被日志探针采集安全人员可检索所有人的域名解析记录排查违规外网访问。4入侵检测探针IDS内置攻击特征库流量探针实时匹配漏洞利用、注入攻击、Webshell 上传行为 例若内网有人上传 php 探针、一句话木马到网站IDS 探针识别特征后立刻阻断访问并溯源 IP。3. 安全探针核心特点具备审计溯源 主动告警 阻断能力有处罚、合规属性政企、政务内网 100% 部署所有终端、服务器无法卸载重点监控「外联外网、批量下载文件、可疑命令执行、异常登录」等高风险操作。三、红队渗透场景探针攻击侦查、信息收集面向渗透测试 / 红队人员1. 核心定义红队探针是攻击者用于目标资产测绘、服务探测、信息窃取、漏洞验证的工具 / 脚本用于授权渗透测试环境严禁在生产内网无授权使用核心目的不直接破坏业务先收集目标全部信息寻找攻击入口。2. 细分类型 靶场实操案例1Web 信息探针网页探针脚本最常见php 探针、asp/aspx 探针、jsp 探针文件名为phpinfo.php、info.asp功能上传到目标网站目录浏览器访问即可一键读取服务器完整信息操作系统版本、Web 服务、数据库账号密码、网站绝对路径、文件读写权限、外网 IP、启用危险 HTTP 方法靶场实操 授权靶场网站存在文件上传漏洞红队上传 php 探针访问后获取 MinIO 存储地址、数据库连接账号直接下载业务模型、核心数据蓝队 EDR/IDS 探针会检测到该探针文件并告警。2漏洞扫描探针自动化探测工具代表工具Nuclei、Xray、AWVS 内置数千条漏洞规则主动发包探测目标端口、服务、CMS、中间件漏洞也叫扫描探针探测范围开放端口、MinIO 未授权访问、SQL 注入、文件上传、弱口令、CVE 历史漏洞实操红队对内网资产批量扫描探针探测到 MinIO 存储无访问密码直接读取全部 gz 模型文件同时扫描行为会被内网流量探针捕获暴露红队 IP。3内网潜伏无源探针硬件 / 流量劫持探针硬件设备 PhanTap无源旁路接入内网交换机无 IP、不产生系统日志不会触发 EDR 探针告警实操红队物理接入机房交换机长期抓取内网所有数据库、存储访问流量持续收集账号、文件地址长期潜伏渗透。4命令行探测探针轻量侦查脚本简易 Shell/PowerShell 脚本在拿下一台内网机器后执行作为内网探针测绘全网功能批量 ping 内网网段、扫描存活主机、读取 hosts、导出 DNS 缓存、遍历共享文件夹实操红队拿到一台内网终端权限执行 PowerShell 扫描脚本探针探测 10.32.0.0/16 网段存活服务器找到 MinIO 存储服务器 IP。3. 红队探针核心特点仅用于授权渗透测试 / 攻防演练生产环境私自使用属于网络违法核心目标信息搜集、漏洞挖掘、搭建攻击入口绝大多数探针扫描、上传行为会被蓝队安全探针捕获留下完整攻击痕迹。四、云原生场景探针K8s 容器环境专属面向云运维 / 云安全工程师1. 核心定义云原生探针是 KubernetesK8s体系内置 配套监控采集组件分为容器生命周期探针原生内置和云资源监控探针第三方采集专门管理容器、Pod、集群服务可用性、云资源指标适配容器弹性伸缩、微服务架构。2. 细分类型 容器实操案例1K8s 原生三大生命周期探针Pod 内置强制配置写在 Pod 的 yaml 配置文件中kubelet 定时执行探测异常直接重启 Pod保障微服务不僵死存活探针 livenessProbe作用检测容器进程是否卡死、崩溃无响应探测失败直接杀死重建 Pod 探测方式HTTP 访问容器接口、TCP 端口连通、执行容器内命令 实操MinIO 存储部署在 K8s 容器配置 livenessProbe 每分钟访问存储健康接口若容器卡死无法处理文件下载请求探针探测失败集群自动重启 Pod解决你 curl 下载超时问题。就绪探针 readinessProbe作用检测容器是否启动完成、能正常接收业务流量未就绪前不分配流量避免用户访问空白 / 报错 实操模型加载容器启动需要 2 分钟解压 gz 权重文件就绪探针检测模型文件解压完成后才将 Pod 加入服务负载均衡防止用户提前下载文件失败。启动探针 startupProbe作用针对启动极慢的容器大模型、大数据服务给充足启动时间避免存活探针误杀 实操几十 GB 模型解压容器启动耗时 5 分钟配置启动探针延长探测等待时间防止容器反复重启。2云资源监控探针容器指标采集代表cAdvisor、kube-state-metricscAdvisor采集单个 Pod 容器指标CPU、内存、磁盘 IO、容器网络流量、文件读写kube-state-metrics采集集群资源指标Pod 运行状态、Deployment 副本数、弹性伸缩事件、服务负载均衡状态实操集群部署 minio 容器cAdvisor 探针持续采集文件上传下载 IO 负载流量突增时触发集群扩容多 Pod 分担下载压力。3云原生安全探针容器安全代表Tetrate Istio Sidecar、Falco 容器安全探针Falco内核级监控容器行为检测容器逃逸、越权挂载目录、恶意进程、容器外联异常Istio Sidecar服务网格探针拦截 Pod 之间所有微服务通信加密流量、审计服务调用日志实操容器内恶意 curl 外联外网下载文件Falco 探针实时告警阻断容器外网访问和政务内网 EDR 探针功能对应但仅针对容器环境。4云拨测探针云厂商托管探针阿里云 / 华为云 / 腾讯云内置云拨测探针跨地域探测 K8s 服务公网 / 内网访问速度、连通性 实操探针跨区域访问 MinIO 域名提前发现 443 端口不通、DNS 解析故障。3. 云原生探针核心特点生命周期探针是 K8s 原生内置能力无额外部署容器运维必备全部面向容器、微服务、弹性集群传统服务器探针无法适配兼顾业务稳定性监控 容器安全防护云平台、容器化业务强制使用。