如何用简单的语句检测服务器外联行为?

客户需求

详细采购需求这里不展示,客户要求能够检测服务器外联行为。

解决方案

首先,我们要理解什么是外联行为,这里可以认为是客户本身不能上网的机器突然产生了联网的行为,这个就是外联行为。

看这张图就能更加清晰理解了。

图片[1]-如何用简单的语句检测服务器外联行为?-FancyPig's blog

最简单的方式,在流量监测中,我们可以统计出客户的资产IP,然后配合内网IP地址,写一条规则,大致思路

源IP是客户资产IP段 && 目的IP是非内网IP

再具体一些,我们参考wireshark的语法

ip.src == (资产IP段1 || 资产IP段2 || 资产IP段3 || 资产IP段n) && ip.dst !=(A类IP段 && B类IP段 && C类IP段 )

这里的A类、B类、C类,可以参考

A类:10段,后三位自由分配,也就是 10.0.0.0 - 10.255.255.255;
B类:172.16段,后两位自由分配,也就是 172.16.0.0 - 172.31.255.255;
C类:192.168段,后两位自由分配,也就是 192.168.0.0 - 192.168.255.255;

但是部分产品设备未兼容网段,这里如何将IP地址填入呢?

换句话说就是,如果部分产品设备不支持192.168.0.0/24,我们如何将192.168.0.0-192.168.255.255所有IP按行输出?

详细可以参考下文

© 版权声明
THE END
喜欢就支持一下吧
点赞20赞赏 分享
评论 共2条

请登录后发表评论