这是一个创建于 1028 天前的主题,其中的信息可能已经有所发展或是发生改变。
团队的内网中存在一些异常流量,被信息化中心检测到了,要求我们整改。
我们目前就是用的普通路由器,所以没法搞清楚是哪个设备出了问题。因为有空闲的电脑,想安装 pfsense 之类的防火墙系统,从而对内网的流量进行一定程度的记录,从而揪出有问题的设备;或者有依据之后,也可以自信的回复信息化中心是他们误判了。
不知道能否达成目的?
 | 1 yyzh 2023 年 5 月 4 日  1 你确定公司给你自己弄防火墙而不是找信息化中心?别到时候又把事情闹大. |
 | 2 tomczhen 2023 年 5 月 4 日 via Android 1 弄个台镜像流量的三层交换机,配合抓包软件就行了,推荐科来,免费版一般也能满足你们这种规模的公司了。 |
 | 3 dann73580 2023 年 5 月 4 日 1 Pfsense 是没问题的,来这里看看: https://pfschina.org/wp/ 不过有个问题,如果是企业的话还是不好自己搞软路由,要走正规渠道采购吧。 那不妨看看国内成品路由器,爱快,派网,之类的产品,会不会更好? |
 | 4 mrcn OP |
| 5 yyzh 2023 年 5 月 4 日 1 |
 | 6 luoshengdu 2023 年 5 月 4 日 1 www.panabit.com x86 架构,3 个网口。基于有 freebsd 系统和 linux 系统可选部署方式。可桥接在出口处分析网络流量 |
| 8 luoshengdu 2023 年 5 月 4 日 panabit 的免费版:256IP ,65k 连接数限制。超出部分显示为未知流量,没有做限制 |
 | 9 patrickyoung 2023 年 5 月 4 日 via iPhone @mrcn #4 挖矿这个检测这么多年了,技术是比较成熟的,一般不会错。 |
 | 10 scys 2023 年 5 月 4 日 申请资金,买一台破烂的企业级路由,将记录日志丢回去即可... |
 | 11 ihacku 2023 年 5 月 5 日 via Android 如果只是为了解决挖矿这个 可以试下简单的方式 https://onedns.net/ 或者直接问下触发了哪个域名,反查是什么 ip 触发的或者直接指向到 0.0.0.0 |
 | 12 datocp 2023 年 5 月 5 日 via Android 哈哈,想起当年用网康的时候,去问同事你们怎么不务正业,人家一脸委屈的说没啊。。。 对于那些安装了 p2p 的电脑,能怎么搞。 |
 | 13 nuk 2023 年 5 月 5 日 可以试试 opnsense 的 netflow 功能,pfsense 默认安装只能 pflog 或者 tcpdump 来记录,要么缺少现成的分析工具,要么对系统负载影响太大 |
 | 14 lvcnsc 2023 年 5 月 5 日 他们应该可以提供挖矿的目标地址,然后在内网查找谁在访问这个地址就很好找了。 前年电信把公司网络直接给掐了,说是在挖矿,并提供了一个截图,包含了矿池的地址,直接路由器看谁在访问然后去处理掉就完事了.. 不过他们最初提供的截图不完整没目标地址,还是后来去要的。。 |
 | 15 bingfengfeifei 2023 年 5 月 5 日 @mrcn 挖矿不太可能误判,而且内网大概率是弱密码或者漏洞被中毒的挖矿机横向扩展了。现在的网络环境非常恶劣,还是上点内网安全吧 |
 | 16 greenskinmonster 2023 年 5 月 5 日 pfSense -> ntopng -> elasticsearch ,理论上可以把实时流量记录下来,再进行分析。 |
 | 17 systemcall 2023 年 5 月 5 日 买个带端口镜像功能的交换机,在几个节点上面开镜像,镜像端口接 PC ,千兆网口不够就上万兆 要求不高的话,clash meta 可以嗅探协议和 SNI ,也许可以抓出来一般的矿池 |
Select Language