这是一个创建于 1322 天前的主题,其中的信息可能已经有所发展或是发生改变。
RT ,目前有这个需求,最近需要审查一下局域网内虚拟币挖矿的情况,因为场地是公用的。
能否不上锐捷那种企业级的方案,直接有现成的系统可供使用?目前用 VM 跑着 爱快 和 OpenWrt 。
能否不上锐捷那种企业级的方案,直接有现成的系统可供使用?目前用 VM 跑着 爱快 和 OpenWrt 。
第 1 条附言 2022-02-27 11:48:35 +08:00
感谢大家的留言,统一回复一下,有一点我没有说清楚就是,审查挖矿行为是因为 ISP 方面通知的,因为是公用办公场地,一旦被断网的话会造成很多麻烦;暂时 不用考虑电费和其他问题,也不需要非常高端的行为管控系统,只需要阻断相关的 域名、连接、协议 等。
昨天看到 深信服 的解决方案,看上去效果还是不错的,但是没有过多的财力和精力去弄这个;感谢 #7 的回复,目前打开了 爱快 内置的挖矿协议阻断。
- #3 提到的 Panabit 似乎好久没有更新了,不知道是否存在相关的特征库,还没有尝试。
- #4 提到的 Zenarmor 看了一下似乎功能还是挺好的,但是需要 OPNsense,没有接触过,可能需要一些时间去了解。
- 感谢 #12 为大家说明企业级的行为管控系统的运作,但是其实我的需求是比较简单的~
 | 1 815979670 2022-02-26 23:49:32 +08:00 应该没有把 挖矿是一个本地行为 靠上网行为能监控吗 |
 | 2 Akiio 2022-02-26 23:58:42 +08:00 简单一点可以试试 ntopng ,把里面的规则打开,或者复杂点搞流量镜像分析,当然就不止这个应用场景了 |
 | 3 MikuM97 2022-02-27 00:37:11 +08:00  1 如果网络规模比较小,内网 IP 数小于 256 个,可以尝试下 panabit 的标准版,这个应该是最接近商用的行为管理,如果你的内网交换机支持流量镜像,还能做旁路审计。 如果网络规模大,内网 IP 数大于 256 个,那就尝试搭建开源的方案吧,例如 ElatiscSearch+Kibana+Packetbeat ,虽然无法做控制,但是可以做流量审计,也许能发现一些端倪。 |
 | 4 tomczhen 2022-02-27 02:13:06 +08:00 超过 256 ip 的话可以看看 Opnsense + Zenarmor 插件,免费版本有限制功能,但是 ip 数量看起来没限制。 |
 | 5 dlsflh 2022-02-27 02:14:50 +08:00 via Android 很搞笑,一个开着热点的 4g 手机就完全绕过了你的方法。最靠谱的方法是用电量分析。 |
 | 7 diguoemo 2022-02-27 03:38:44 +08:00 via Android 爱快能阻断虚拟货币挖矿协议,不过 ssl 的挖矿阻断不了 |
 | 8 duke807 2022-02-27 05:17:42 +08:00 1 想到一方法,用外成像,看的度最高 |
 | 9 ktqFDx9m2Bvfq3y4 2022-02-27 06:25:08 +08:00 via iPhone 在家办公,来来来,让你挖 |
 | 11 documentzhangx66 2022-02-27 07:33:20 +08:00 其实一个简单的二级网络 + 全局 VPN 代理,就可以轻松破解掉现在 所有 的行为分析,对,你没看错,我写的是所有。 二级网络的意思是,需要安装认证软件的机器上,装两个网卡。连接公司网络的网卡为外网网卡,另一个内网网卡连接交换机,交换机再连接一台内网机器,需要做一位违规事情的应用,放在内网机器上,内网机器用 VPN 开全局代理。 当然,这样做也是有弊端的: 1.很多基于底层网络协议,以及 UDP 协议,可能会被行为分析大幅度降低性能,甚至会被阻断。只有 TCP 才能畅通无阻。 2.内网机器的大部分性能可能会被用于 VPN 的加密解密。VPN 对端的机器也是如此。 |
 | 12 singerll 2022-02-27 08:22:14 +08:00 via Android @documentzhangx66 想多了根本破解不了,你这种方法只能破解一些管控并不严的企业,真正的管控向来都是技术+管理一起用的。 首先从终端配发开始,技术部门统一定制化后配发,域控制,物理绑定、管控软件啥的给你安装的明明白白的,。 做的严格的行为管控都有客户端,客户端干的第一件事就是把其他网口、蓝牙、usb 啥的全都禁掉。 就算你想到办法加密流量,还有一部分行为管控软件是靠连续截屏分析的。。。 别说你装个网卡了,拿 usb 给手机充个电要不了半天就来找你了。。。 |
 | 13 yumusb 2022-02-27 13:19:35 +08:00 suricata 上规则就行了。 |
 | 14 Metre 2022-02-27 13:36:52 +08:00 suricata snort |
 | 15 joesonw 2022-02-27 17:33:06 +08:00 via iPhone 共享办公类的吧?首先要客户端撞根证书的应该是要排除掉。 人家只是 isp 警告管一管挖矿相关流量吧?你用 4g ,人家也懒得管你。 |
 | 16 qwerz 2022-02-27 20:19:19 +08:00 suricata 楼上已经有老哥提到了 |
 | 17 xPKK1qofAr6RR09O 2022-02-27 20:35:41 +08:00 把几大矿池的 dns 污染一下是最简单的 |
| 18 MikuM97 2022-02-27 21:57:03 +08:00 panabit 的特征库实际上一直有在积极的更新,安装玩基础镜像后打补丁包即可,参考: https://bbs.panabit.com/thread-23213-1-1.html 最新更新的一个版本,就添加了“虚拟货币”的特征,可以尝试和爱快结合下 |
 | 19 xxb 2022-02-28 01:31:40 +08:00 反过来问,如何避开楼主的审查? |
 | 20 Zy143L 2022-02-28 01:33:52 +08:00 via Android 去 minerpoolstats 上把矿池的域名拉一边 别屏蔽 就审计 谁访问 谁倒霉 |
 | 21 cxy2244186975 2022-02-28 01:41:11 +08:00 via Android @xxb 都是信安人 |
 | 22 1nclude 2022-02-28 10:10:09 +08:00 suricata + ELK ,你得会写规则 |
 | 24 Kasumi20 2022-02-28 12:01:26 +08:00 那么好封,v2ex 就没有人了。建议物理断网 |
 | 25 nilai 2022-02-28 14:27:46 +08:00 我来说一下怎么绕过这种检测 |
| 26 nilai 2022-02-28 14:28:31 +08:00 1.开启 SSL 挖矿 2.抢建知名矿池的中转节点 |
 | 28 mikywei 2022-03-06 12:51:17 +08:00 一般上网行为管理不做这种功能,都会分在 IPS 、AV 、EDR 这种产品里面的,IPS 对应的开源软件有 suricata 和 snort ,安装好之后可以到网上找一些别人写好的规则,不过免费的等于没有维护,覆盖肯定不全面,而且 https 之类的加密协议是审计不到的更别说阻断,当然有些是有威胁情报啥的可以判断目标 ip 是不是挖矿服务器和矿池。 |
 | 29 spediacn 2022-10-08 04:14:23 +08:00 via iPhone 我倒是自己搜集了经常碰到的挖矿和勒索域名和 ip ,只是不知贴出来会不会触碰规则封号 |
Select Language