客户需求
详细采购需求这里不展示,客户要求能够检测服务器外联行为。
解决方案
首先,我们要理解什么是外联行为,这里可以认为是客户本身不能上网的机器突然产生了联网的行为,这个就是外联行为。
看这张图就能更加清晰理解了。
![图片[1]-如何用简单的语句检测服务器外联行为?-FancyPig's blog](https://static.iculture.cc/wp-content/uploads/2021/11/20211129164407652.png?x-oss-process=image/auto-orient,1/format,webp/watermark,image_cHVibGljL2xvZ28ucG5nP3gtb3NzLXByb2Nlc3M9aW1hZ2UvcmVzaXplLFBfMTA,x_10,y_10)
最简单的方式,在流量监测中,我们可以统计出客户的资产IP,然后配合内网IP地址,写一条规则,大致思路
源IP是客户资产IP段 && 目的IP是非内网IP
再具体一些,我们参考wireshark的语法
ip.src == (资产IP段1 || 资产IP段2 || 资产IP段3 || 资产IP段n) && ip.dst !=(A类IP段 && B类IP段 && C类IP段 )
这里的A类、B类、C类,可以参考
A类:10段,后三位自由分配,也就是 10.0.0.0 - 10.255.255.255;
B类:172.16段,后两位自由分配,也就是 172.16.0.0 - 172.31.255.255;
C类:192.168段,后两位自由分配,也就是 192.168.0.0 - 192.168.255.255;
但是部分产品设备未兼容网段,这里如何将IP地址填入呢?
换句话说就是,如果部分产品设备不支持192.168.0.0/24,我们如何将192.168.0.0-192.168.255.255所有IP按行输出?
详细可以参考下文
© 版权声明
THE END
- 最新
- 最热
只看作者