工具--探针
2026/7/17 4:40:32 网站建设 项目流程

一、通用核心定义

探针是采集 / 探测工具、程序、硬件或组件,作用类似网络里的「传感器 / 摄像头」,通过主动发包探测、被动采集流量 / 日志 / 系统状态,把数据汇总给后台平台分析,分运维监控、网络安全、红队渗透、云原生四大场景,做网安攻防会高频接触。

二、分场景详细分类

1. 蓝队防守:安全 / 态势感知探针(企业防护用)

(1)流量探针(硬件 / 旁挂交换机)
  • 部署:接交换机镜像口,不串业务,零影响线上流量
  • 功能:抓全网原始数据包,解析 HTTP/HTTPS/DNS 流量,识别端口扫描、挖矿、暴力破解、数据外传、APT 攻击;留存流量包用于事后溯源取证
  • 产品:深信服 / 绿盟 UTS 综合威胁探针、TAP 流量分光硬件
(2)主机探针(Agent 软件,装服务器 / Windows 机器)
  • 部署:系统内后台进程(Wazuh、EDR 主机安全探针)
  • 功能:监控进程启动、文件篡改、账号登录、命令执行、内网外联;拦截勒索病毒、异常提权、恶意脚本
  • 你之前操作的政务内网服务器,大概率部署了这类探针,会记录你的 curl 下载、文件解压行为
(3)日志探针

采集防火墙、堡垒机、MinIO、服务器系统日志,统一上送到态势平台,满足等保日志留存合规要求。

2. 运维监控探针(业务稳定性)

  1. K8s 容器探针:存活探针 Liveness、就绪探针 Readiness,定时访问容器端口,容器卡死自动重启
  2. 监控探针(Prometheus Exporter):采集服务器 CPU、内存、磁盘、接口响应耗时,监控模型下载服务(MinIO)运行状态
  3. 链路探测探针:ping/tcping 定时检测端口连通性,排查你之前遇到的 443 端口连不上、域名解析失败问题

3. 红队渗透 / 信息收集探针(攻击侦查用,你攻防学习重点)

(1)Web 探针(一句话木马 / 探针脚本)

常见phpinfo.phpasp探针aspx探针,上传到目标网站后访问,一键获取: 服务器操作系统、Web 中间件版本、数据库账号、目录路径、可读写目录、启用危险 HTTP 方法(PUT/DELETE),快速判断漏洞利用条件

风险:生产站出现未授权探针文件,属于高危漏洞,蓝队会直接告警溯源上传者

(2)指纹探测工具(Nuclei、ObserverWard)

俗称「扫描探针」,内置数千条规则模板,主动发包探测目标端口、服务、CMS 版本,匹配对应 CVE 漏洞;比如扫描 MinIO 服务是否存在未授权访问漏洞。

(3)硬件隐形探针(红队内网测绘)

PhanTap 等无源 TAP 设备,无 IP、不产生日志,旁路抓取内网流量,不会触发主机探针告警,用于长期潜伏收集业务接口、内网资产信息

4. 简易区分表格

类型使用方核心目的是否产生日志
态势流量 / 主机探针蓝队 / 运维监控、告警、防守溯源全程记录所有操作
Web / 漏洞扫描探针红队 / 渗透测试信息收集、寻找漏洞会被目标探针捕获留痕
K8s / 监控探针运维保障业务稳定运行仅记录性能指标

三、补充通俗类比

  • 流量探针 = 机房监控摄像头,看全网所有网络来往;
  • 主机 Agent 探针 = 电脑后台监控,记录你敲的每一条命令、打开的文件;
  • Web 探针 = 偷偷放在目标网站的「信息查看器」,一键扒光服务器配置;
  • 漏洞扫描探针 = 自动化侦查机器人,批量扫全网找漏洞。

探针分四大场景详细讲解(按顺序:运维监控 → 网络安全 → 红队渗透 → 云原生,附实操案例)

一、运维监控场景探针(保障业务稳定,面向运维工程师)

1. 核心定义

运维监控探针是主动 / 被动采集服务器、中间件、数据库、网络链路运行指标的轻量程序,持续上报数据到监控平台(Prometheus、Zabbix、Grafana),用来提前发现卡顿、宕机、磁盘爆满、接口超时,保障业务不间断运行。

2. 细分类型 + 实操场景

(1)主机指标探针(Exporter)
  • 代表工具:node-exporter(Linux 主机)、windows-exporter(Windows 服务器)
  • 采集内容:CPU 使用率、内存占用、磁盘读写、磁盘剩余空间、网络出入流量、系统负载、开机时长
  • 实操案例: 政务内网 MinIO 存储服务器部署 node-exporter 探针,每 15 秒采集一次磁盘容量指标;当模型文件持续上传导致磁盘剩余低于 10% 时,Grafana 自动推送钉钉告警,运维提前扩容,避免你下载模型时服务崩溃。
  • 部署方式:后台常驻进程,监听本地端口,监控平台定时拉取指标。
(2)业务组件专属探针

针对中间件、数据库、对象存储定制采集器:

  • minio-exporter:采集 MinIO 桶容量、文件上传 / 下载 QPS、接口响应耗时、存储读写错误;对应你之前 curl 下载模型的业务链路
  • mysql-exporter:数据库慢查询、连接数、缓存命中率
  • nginx-exporter:网站访问量、4xx/5xx 错误请求数
  • 实操:你之前访问xdhjg-sthjjj.hzyuhang.cn超时,minio-exporter 探针会记录该接口响应延迟突增,运维通过监控面板直接定位存储服务卡顿。
(3)链路探测探针(拨测探针)

主动模拟用户请求,检测网络连通性、服务可达性:

  • 工具:Blackbox Exporter、Shell 定时脚本
  • 探测方式:TCP 端口连通、HTTP/HTTPS 访问、DNS 解析、ping 包
  • 实操匹配你的报错场景: 运维部署拨测探针定时访问 MinIO 域名 443 端口,当出现Could not connect端口失败、Could not resolve host解析失败时,监控立刻触发告警,提前发现内网 DNS 故障、存储服务离线问题。
(4)日志采集探针
  • 代表:Filebeat、Logstash
  • 作用:实时采集服务器系统日志、MinIO 访问日志、curl 操作命令日志,汇总到 ELK 日志平台
  • 实操:你在 Windows 执行 curl 下载文件,服务器端 Filebeat 探针会抓取 MinIO 的访问日志,运维可以查看到所有文件下载记录、访问 IP、请求时间。

3. 运维探针核心特点

  1. 权限低、无入侵性,仅读取运行指标,不会修改业务文件;
  2. 核心目标:提前预警故障、事后定位性能瓶颈
  3. 几乎所有政企内网、云服务器强制部署,属于基础运维标配。

二、网络安全场景探针(蓝队防守、等保合规,面向安全运维 / 态势感知工程师)

1. 核心定义

安全探针是内网安全感知的 “传感器”,分为硬件旁路探针、主机 EDR 探针、日志审计探针,全程监控内网流量、主机行为、外联访问,识别攻击行为、违规操作,满足等保 2.0 日志留存、入侵检测要求,政务内网强制全覆盖。

2. 细分类型 + 内网实操案例(贴合你政务内网环境)

(1)旁路流量硬件探针(TAP 分光 / 镜像探针)
  • 部署方式:物理硬件接入核心交换机镜像口,不串入业务流量,零延迟,抓取内网全部原始数据包
  • 识别能力:解析 DNS 请求、HTTP/HTTPS 明文流量、端口扫描、暴力破解、横向渗透、内网外联异常
  • 实操匹配你的操作: 你在内网执行 curl 访问外网域名xdhjg-sthjjj.hzyuhang.cn,交换机镜像探针会捕获这条 HTTPS 流量;内网规范禁止办公机直接外联公网存储,探针识别后立即推送高危外联告警给安全管理员。 同时你遇到的 DNS 解析失败请求nslookup也会被探针完整记录,审计可追溯。
(2)主机安全探针(EDR/Wazuh Agent,安装在每台电脑 / 服务器)

后台常驻程序,深度监控本机所有行为,是政务内网最核心的监控探针:

  • 采集监控内容:终端命令执行(PowerShell curl、解压、wget)、文件新增 / 删除 / 修改、账号登录、进程启动、外联 IP、脚本运行、注册表篡改
  • 实操场景:
    1. 你执行curl.exe -L下载 gz 模型压缩包,Wazuh 主机探针会记录完整命令、下载文件路径、文件哈希值;
    2. 若上传未知 exe 脚本、批量访问外网、解压可疑压缩包,探针直接拦截并上报安全平台;
    3. 服务器出现挖矿程序、远控木马时,探针捕获异常进程,自动隔离主机。
(3)日志审计探针

采集防火墙、堡垒机、DNS 服务器、MinIO、OA 系统全量日志,统一汇总态势平台,日志留存 6 个月满足等保要求。

  • 实操:内网 DNS 服务器yh-dc-01.yuhang.gov.cn所有域名查询记录,全部被日志探针采集;安全人员可检索所有人的域名解析记录,排查违规外网访问。
(4)入侵检测探针(IDS)

内置攻击特征库,流量探针实时匹配漏洞利用、注入攻击、Webshell 上传行为; 例:若内网有人上传 php 探针、一句话木马到网站,IDS 探针识别特征后立刻阻断访问并溯源 IP。

3. 安全探针核心特点

  1. 具备审计溯源 + 主动告警 + 阻断能力,有处罚、合规属性;
  2. 政企、政务内网 100% 部署,所有终端、服务器无法卸载;
  3. 重点监控「外联外网、批量下载文件、可疑命令执行、异常登录」等高风险操作。

三、红队渗透场景探针(攻击侦查、信息收集,面向渗透测试 / 红队人员)

1. 核心定义

红队探针是攻击者用于目标资产测绘、服务探测、信息窃取、漏洞验证的工具 / 脚本,用于授权渗透测试环境,严禁在生产内网无授权使用;核心目的:不直接破坏业务,先收集目标全部信息寻找攻击入口。

2. 细分类型 + 靶场实操案例

(1)Web 信息探针(网页探针脚本)

最常见:php 探针、asp/aspx 探针、jsp 探针(文件名为phpinfo.phpinfo.asp

  • 功能:上传到目标网站目录,浏览器访问即可一键读取服务器完整信息:操作系统版本、Web 服务、数据库账号密码、网站绝对路径、文件读写权限、外网 IP、启用危险 HTTP 方法
  • 靶场实操: 授权靶场网站存在文件上传漏洞,红队上传 php 探针,访问后获取 MinIO 存储地址、数据库连接账号,直接下载业务模型、核心数据;蓝队 EDR/IDS 探针会检测到该探针文件并告警。
(2)漏洞扫描探针(自动化探测工具)

代表工具:Nuclei、Xray、AWVS 内置数千条漏洞规则,主动发包探测目标端口、服务、CMS、中间件漏洞,也叫扫描探针:

  • 探测范围:开放端口、MinIO 未授权访问、SQL 注入、文件上传、弱口令、CVE 历史漏洞
  • 实操:红队对内网资产批量扫描,探针探测到 MinIO 存储无访问密码,直接读取全部 gz 模型文件;同时扫描行为会被内网流量探针捕获,暴露红队 IP。
(3)内网潜伏无源探针(硬件 / 流量劫持探针)

硬件设备 PhanTap,无源旁路接入内网交换机,无 IP、不产生系统日志,不会触发 EDR 探针告警;

  • 实操:红队物理接入机房交换机,长期抓取内网所有数据库、存储访问流量,持续收集账号、文件地址,长期潜伏渗透。
(4)命令行探测探针(轻量侦查脚本)

简易 Shell/PowerShell 脚本,在拿下一台内网机器后执行,作为内网探针测绘全网:

  • 功能:批量 ping 内网网段、扫描存活主机、读取 hosts、导出 DNS 缓存、遍历共享文件夹
  • 实操:红队拿到一台内网终端权限,执行 PowerShell 扫描脚本探针,探测 10.32.0.0/16 网段存活服务器,找到 MinIO 存储服务器 IP。

3. 红队探针核心特点

  1. 仅用于授权渗透测试 / 攻防演练,生产环境私自使用属于网络违法;
  2. 核心目标:信息搜集、漏洞挖掘、搭建攻击入口;
  3. 绝大多数探针扫描、上传行为,会被蓝队安全探针捕获,留下完整攻击痕迹。

四、云原生场景探针(K8s 容器环境专属,面向云运维 / 云安全工程师)

1. 核心定义

云原生探针是 Kubernetes(K8s)体系内置 + 配套监控采集组件,分为容器生命周期探针(原生内置)云资源监控探针(第三方采集),专门管理容器、Pod、集群服务可用性、云资源指标,适配容器弹性伸缩、微服务架构。

2. 细分类型 + 容器实操案例

(1)K8s 原生三大生命周期探针(Pod 内置,强制配置)

写在 Pod 的 yaml 配置文件中,kubelet 定时执行探测,异常直接重启 Pod,保障微服务不僵死:

  1. 存活探针 livenessProbe作用:检测容器进程是否卡死、崩溃无响应;探测失败直接杀死重建 Pod 探测方式:HTTP 访问容器接口、TCP 端口连通、执行容器内命令 实操:MinIO 存储部署在 K8s 容器,配置 livenessProbe 每分钟访问存储健康接口;若容器卡死无法处理文件下载请求,探针探测失败,集群自动重启 Pod,解决你 curl 下载超时问题。

  2. 就绪探针 readinessProbe作用:检测容器是否启动完成、能正常接收业务流量;未就绪前不分配流量,避免用户访问空白 / 报错 实操:模型加载容器启动需要 2 分钟解压 gz 权重文件,就绪探针检测模型文件解压完成后,才将 Pod 加入服务负载均衡,防止用户提前下载文件失败。

  3. 启动探针 startupProbe作用:针对启动极慢的容器(大模型、大数据服务),给充足启动时间,避免存活探针误杀; 实操:几十 GB 模型解压容器启动耗时 5 分钟,配置启动探针延长探测等待时间,防止容器反复重启。

(2)云资源监控探针(容器指标采集)

代表:cAdvisor、kube-state-metrics

  • cAdvisor:采集单个 Pod 容器指标:CPU、内存、磁盘 IO、容器网络流量、文件读写
  • kube-state-metrics:采集集群资源指标:Pod 运行状态、Deployment 副本数、弹性伸缩事件、服务负载均衡状态
  • 实操:集群部署 minio 容器,cAdvisor 探针持续采集文件上传下载 IO 负载,流量突增时触发集群扩容,多 Pod 分担下载压力。
(3)云原生安全探针(容器安全)

代表:Tetrate Istio Sidecar、Falco 容器安全探针

  • Falco:内核级监控容器行为,检测容器逃逸、越权挂载目录、恶意进程、容器外联异常;
  • Istio Sidecar:服务网格探针,拦截 Pod 之间所有微服务通信,加密流量、审计服务调用日志;
  • 实操:容器内恶意 curl 外联外网下载文件,Falco 探针实时告警,阻断容器外网访问,和政务内网 EDR 探针功能对应,但仅针对容器环境。
(4)云拨测探针(云厂商托管探针)

阿里云 / 华为云 / 腾讯云内置云拨测探针,跨地域探测 K8s 服务公网 / 内网访问速度、连通性; 实操:探针跨区域访问 MinIO 域名,提前发现 443 端口不通、DNS 解析故障。

3. 云原生探针核心特点

  1. 生命周期探针是 K8s 原生内置能力,无额外部署,容器运维必备;
  2. 全部面向容器、微服务、弹性集群,传统服务器探针无法适配;
  3. 兼顾业务稳定性监控 + 容器安全防护,云平台、容器化业务强制使用。

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询