团队的内网中存在一些异常流量,被信息化中心检测到了,要求我们整改。
我们目前就是用的普通路由器,所以没法搞清楚是哪个设备出了问题。因为有空闲的电脑,想安装 pfsense 之类的防火墙系统,从而对内网的流量进行一定程度的记录,从而揪出有问题的设备;或者有依据之后,也可以自信的回复信息化中心是他们误判了。
不知道能否达成目的?
1
yyzh 2023-05-04 21:05:05 +08:00 1
你确定公司给你自己弄防火墙而不是找信息化中心?别到时候又把事情闹大.
|
2
tomczhen 2023-05-04 21:09:29 +08:00 via Android 1
弄个台镜像流量的三层交换机,配合抓包软件就行了,推荐科来,免费版一般也能满足你们这种规模的公司了。
|
3
dann73580 2023-05-04 21:10:31 +08:00 1
Pfsense 是没问题的,来这里看看:
https://pfschina.org/wp/ 不过有个问题,如果是企业的话还是不好自己搞软路由,要走正规渠道采购吧。 那不妨看看国内成品路由器,爱快,派网,之类的产品,会不会更好? |
4
mrcn OP |
5
yyzh 2023-05-04 21:41:02 +08:00 1
|
6
luoshengdu 2023-05-04 21:43:59 +08:00 1
www.panabit.com x86 架构,3 个网口。基于有 freebsd 系统和 linux 系统可选部署方式。可桥接在出口处分析网络流量
|
8
luoshengdu 2023-05-04 21:45:46 +08:00
panabit 的免费版:256IP ,65k 连接数限制。超出部分显示为未知流量,没有做限制
|
9
patrickyoung 2023-05-04 21:50:19 +08:00 via iPhone
@mrcn #4 挖矿这个检测这么多年了,技术是比较成熟的,一般不会错。
|
10
scys 2023-05-04 22:43:50 +08:00
申请资金,买一台破烂的企业级路由,将记录日志丢回去即可...
|
11
ihacku 2023-05-05 01:30:59 +08:00 via Android
如果只是为了解决挖矿这个 可以试下简单的方式 https://onedns.net/
或者直接问下触发了哪个域名,反查是什么 ip 触发的或者直接指向到 0.0.0.0 |
12
datocp 2023-05-05 07:05:17 +08:00 via Android
哈哈,想起当年用网康的时候,去问同事你们怎么不务正业,人家一脸委屈的说没啊。。。
对于那些安装了 p2p 的电脑,能怎么搞。 |
13
nuk 2023-05-05 08:29:00 +08:00
可以试试 opnsense 的 netflow 功能,pfsense 默认安装只能 pflog 或者 tcpdump 来记录,要么缺少现成的分析工具,要么对系统负载影响太大
|
14
lvcnsc 2023-05-05 09:48:32 +08:00
他们应该可以提供挖矿的目标地址,然后在内网查找谁在访问这个地址就很好找了。
前年电信把公司网络直接给掐了,说是在挖矿,并提供了一个截图,包含了矿池的地址,直接路由器看谁在访问然后去处理掉就完事了.. 不过他们最初提供的截图不完整没目标地址,还是后来去要的。。 |
15
bingfengfeifei 2023-05-05 10:50:18 +08:00
@mrcn 挖矿不太可能误判,而且内网大概率是弱密码或者漏洞被中毒的挖矿机横向扩展了。现在的网络环境非常恶劣,还是上点内网安全吧
|
16
greenskinmonster 2023-05-05 13:50:53 +08:00
pfSense -> ntopng -> elasticsearch ,理论上可以把实时流量记录下来,再进行分析。
|
17
systemcall 2023-05-05 20:06:44 +08:00
买个带端口镜像功能的交换机,在几个节点上面开镜像,镜像端口接 PC ,千兆网口不够就上万兆
要求不高的话,clash meta 可以嗅探协议和 SNI ,也许可以抓出来一般的矿池 |