如何用简单的语句检测服务器外联行为？

客户需求

详细采购需求这里不展示，客户要求能够检测服务器外联行为。

解决方案

首先，我们要理解什么是外联行为，这里可以认为是客户本身不能上网的机器突然产生了联网的行为，这个就是外联行为。

看这张图就能更加清晰理解了。

最简单的方式，在流量监测中，我们可以统计出客户的资产IP，然后配合内网IP地址，写一条规则，大致思路

源IP是客户资产IP段 && 目的IP是非内网IP

再具体一些，我们参考wireshark的语法

ip.src == (资产IP段1 || 资产IP段2 || 资产IP段3 || 资产IP段n) && ip.dst !=（A类IP段 && B类IP段 && C类IP段 ）

这里的A类、B类、C类，可以参考

A类：10段，后三位自由分配，也就是 10.0.0.0 - 10.255.255.255；
B类：172.16段，后两位自由分配，也就是 172.16.0.0 - 172.31.255.255；
C类：192.168段，后两位自由分配，也就是 192.168.0.0 - 192.168.255.255；

但是部分产品设备未兼容网段，这里如何将IP地址填入呢？

换句话说就是，如果部分产品设备不支持192.168.0.0/24，我们如何将192.168.0.0-192.168.255.255所有IP按行输出？

详细可以参考下文

如何将A段、B段、C段网段IP按行输出为详细IP地址

8个月前

1157835