定义  在表征入侵报警之后，隔离入侵环境的时间段称为快速停止损失阶段。 一，背景 止损方法通常简单而粗鲁，止损更多地依赖于人类的肉体操作，缺乏系统的过程和平台。我见过很多错误的止损方法： 1.直接关闭并重新启动受感染的服务器。 2.重新安装系统并销毁机器。 上述方法将在很大程度上破坏第一个案例发现站点，并且许多第一手信息将被破坏：内存，进程信息等。对于后续可追溯性完整的攻击链非常不利， 后果可能导致所有黑客完全可追溯性的失败，甚至内部网络上其他机器的后门也无法完全清除，从而导致二次入侵。 事实上，更好的止损需要满足几个条件： 1.快速隔离入侵机器，防止内部网络扩散; 2.最大化入侵站点的可追溯性; 3.平台，系统操作，避免人肉登录服务器操作。 第二，止损计划 Linux平台 - 使用iptables命令 整个过程分为两部分：止损和恢复。网络层隔离和恢复由iptables脚本完成。 止损 Bash代码： ＃/斌/庆典 Iptables-save ＆gt; /root/iptables.bak  ##备份系统的  iptables文件 Iptables  -F Iptables  -A  INPUT  -s   10。*。*。*  -p  tcp  --dport  22  -j  ACCEPT  从对等方接收数据时失败 Netsh  ipsec  static  exportpolicy  c: \ ipsec.ipsec   ##备份当前的ipsec规则 Netsh  ipsec 静态  del 全                       ##清除ipsec规则 ##打开3389访问，停止后方便登录操作，demo打开所有ip地址，根据跳线配置推荐实际情况 ##入站阻止除了3389其他，tcp/udp连接，阻塞高风险端口 ##出站阻止所有tcp/udp连接，防止机器扫描其他内部网机器 Netsh  ipsec  static  add  policy  name='Block  Hacking'  description='Block  Hack  To  Other  Computer' 从对等方接收数据时失败 从对等方接收数据时失败 Netsh  ipsec  static  add  filteraction  name='Block'  action=block Netsh  ipsec  static  add  rule  name='Access  rules'  policy='Block  Hacking'  filterlist='Access'  filteraction='Permit' Netsh  ipsec  static  add  rule  name='Drop  rules'  policy='Block  Hacking'  filterlist='Drop'  filteraction='Block' Netsh  ipsec 静态 设置 策略  name='块 黑客'  assign=y    ##启动规则 2.恢复 清除当前规则并导入备份规则。 Bash代码： Netsh  ipsec 静态  del 全部 Netsh  ipsec  static  importpolicy  c: \ ipsec.ipsec 三是应急通道 1.止损，恢复任务平台化  利用上述应急计划，需要安全的操作和维护通道（可以快速地将其传送到每个受损机器）。安全操作和维护通道可用于通过HIDS或其他平台发送脚本插件，如https://github.com/Ysrc/yulong-hids，上面的脚本打包成止损，恢复插件，到确认入侵者首先通过后台发布了止损脚本。 2.移动 紧急情况往往是一种突发情况。在许多情况下，首次登录公司网络是不可能的。在这种情况下，上述功能可以与微信/钉子移动报警相结合，这将提高止损效率。