<dd id="pndtr"><track id="pndtr"></track></dd>
    <th id="pndtr"></th>
  1. <span id="pndtr"></span>

    <em id="pndtr"></em>
    <button id="pndtr"></button>

      <dd id="pndtr"><noscript id="pndtr"><video id="pndtr"></video></noscript></dd>
      <span id="pndtr"></span>
      29
      2022
      04

      如何定位局域網中的風險主機?檢測到網內有風險主機怎么辦?

      主管部門發出的安全風險報告,一般只能定位到局域網的公網IP。網管技術人員要處理解決該安全事件,還需要定位到具體的終端電腦。這個定位工作非??简灳W管的技術,沒有對應的技術儲備,加上沒有合適的工具的話,你就只能一臺電腦一臺電腦的殺毒了。

      如何檢測局域網內感染了木馬病毒的電腦?一文中,我們介紹了如何通過WSG上網行為管理網關的“入侵防御”功能來定位挖礦、中毒、以及感染了木馬的電腦。對絕大部分情況來說,開啟入侵防御功能就可以檢測到被感染的終端電腦。然后對該電腦進行查毒殺毒就可以了。有些情況下,由于特征庫版本不一致,或者檢測技術不一樣,也可能存在并沒有檢測到的情況。這時候,我們還可以通過自定義規則的方式,來擴大檢測的內容。在本文中,我將介紹如何自定義檢測規則。

      如下圖,圖中是主管部門發出的安全風險報告。我們可以看到,這三條記錄是通過dns來觸發的,上級部門檢測到內網有終端dns解析了這些域名,所以觸發了安全報告。這個觸發是非常敏感的,舉例來說,你只要去ping一下對應的域名,就會觸發安全事件。

      202204291651219949406374.png

      要在內網檢測到對這些域名的dns請求,我們需要自定義入侵防御的規則。如下圖,在入侵防御的自定義規則中添加規則。

      202204291651220353104055.png

      要對DNS查詢進行內容檢測,自定義規則的語法如下:


      alert udp $HOME_NET any -> any 53 (msg:"detect DNS";content:"|02|gb|0a|imfirewall|03|com|00|";sid:1000005;)


      content后面就是要匹配的域名,要把域名按點號拆分為不同的部分。如:abc.imfirewall.com,需要拆分為|03|abc|0a|imfirewall|03|com|00|(數字是后面字符串的長度)。每條記錄的sid不要重復。

      要匹配安全報告中的三個域名,需要配置三條規則,如下圖:

      202204291651222128137054.png


      “編輯檢查項”并選中自定義的規則。如圖:

      202204291651220403931367.png

      202204291651220416138929.png


      經過上述配置后,只要有人查詢了這些域名的DNS,就可以在記錄查詢中記錄該請求。如果你的局域網是自動獲取IP,還可以結合“查詢統計”->“記錄查詢”中的“IP-MAC歷史”來獲取IP對應的MAC地址。

      202204291651222171127933.png




      ? 上一篇 下一篇 ?
      韩国漫画漫免费观看免费

        <dd id="pndtr"><track id="pndtr"></track></dd>
        <th id="pndtr"></th>
      1. <span id="pndtr"></span>

        <em id="pndtr"></em>
        <button id="pndtr"></button>

          <dd id="pndtr"><noscript id="pndtr"><video id="pndtr"></video></noscript></dd>
          <span id="pndtr"></span>