[求助] 请教下如何找到这个攻击者

38 天前
 XIoYi
前置信息:
1 、被攻击者,我们假设为电脑 A,IP 地址为 192.168.1.1 ,是员工个人电脑
2 、攻击者,我们假设为电脑 B ,IP 地址为 192.168.1.2
3 、A 和 B 在同一网段
事件详情如下:
A 电脑上安装的火绒安全提示在被 B 进行 SMB 扫描爆破攻击,根据火绒的安全防护日志显示,本次共计共持续了 2 到 3 天,每次攻击的开始时间都是在下班后,攻击停止时间就是在上班时间开始的时候。
排查:
1 、经过网管排查,B 的 IP 实际已经至少 300 多天没使用过了,这个 IP 并没有实际使用人;
2 、通过 A 电脑的 arp -a 命令,可以获取到 B 的 IP 地址与 MAC 地址;
3 、A 使用的是网线连接电脑;
4 、A 的使用者并未私接网关、路由器等网络分接设备;
公司网络环境与安全软件:
1 、每台电脑有安装加密软件,该软件会自动搜集电脑的 IP 地址与 MAC 至后台;
2 、公司内网段并没有做严格的分段处理;
3 、没有态势感知、edr 、蜜罐等安全设备;
4 、小公司,不大

求助各位大佬,还能如何排查,如何找到这个攻击源?
2656 次点击
所在节点    信息安全
23 条回复
benjaminliangcom
37 天前
@XIoYi #10 B 电脑安装 sysmon
wheat0r
37 天前
@XIoYi #12 网络侧的排错,不要想得太复杂,找到端口抓人就行
JK2333
19 天前
一般都是某些终端设备自己悄咪咪搞事情,扫描下内网识别服务之类的····

这种一般去流量层排查吧,比如交换机上去看

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1078914

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX