iT邦幫忙

0

如何才能查到內網的哪台PC在對外攻擊???

toend 6 年前9506 瀏覽

經由中華電信的通知,得知在公司內網內有PC可能感染到病毒或惡意程式,而在對外部攻擊,雖然每台電腦每周都有強制自動掃毒一次,但是連續兩個禮拜都還是發現有這種情形發生。

目前公司在網際網路與內部網路之間,有一台ISA Server,但由於對ISA Server還不是很熟悉,請問是不是可利用ISA來查詢到是哪台內部PC在對外執行攻擊??
如果可以查到,我該如何去查呢??
如果不行,那我該如何做才能查詢到有問題的那台內部PC??

6
josejose
iT邦新手 4 級 ‧ 6 年前
最佳解答

Hi~ 若 貴公司的IP被通報對外部進行攻擊,通常的作法
1.分析FW log or HTTP Proxy Log的目的地IP(須確認為已知惡意目的IP),再對應出哪一台用戶端電腦去連線。
2.或是sniffer FW及HTTP proxy的封包分析,通常需要用設備,Trendmicro or Websense都有相關的產品,建議可以去詢問經銷商是否有檢查目前環境內的網路威脅測試方案。

以上參考看看~

14
ghost234
iT邦新手 4 級 ‧ 6 年前

如果是我,我會先看防火牆流量

觀察網域內異常IP封包

22
shunyuan
iT邦研究生 1 級 ‧ 6 年前

要看中華電信告知的對外的網路攻擊是哪一種。

如果是會轉發垃圾信,查 mail server

如果是會被當成肉鵝,或是被當成跳板,可能需要從下面兩處著手:

(1) 用監測網路流量的軟體,看哪台電腦有大量的上傳或是下載流量
(2) 用 system internal 的 TCPview 在可疑的電腦上執行,看該電腦上連進連出的 port 有沒有奇怪的,有沒有連到可疑的 ip

14
def123452002
iT邦新手 5 級 ‧ 6 年前

所以你的架構是

外部-isa-主機-內部

這樣是嗎?

isa無法查出哪個ip流量最大,只能看看日誌
要用一些分析軟体來幫助
如Active Wall

不過建議你在外部和isa中間加個硬體防火牆,
變成這樣 外部-硬防-isa-主機-內部

不用太好,大約幾千的ip分享器即可
都有簡單流量分析和控管流量功能

另我覺得若你不會使用isa來管理的話,也失去isa的功能,
如沒有一定要使用的話直接退下換成硬防
ip分享器都有web介面,使用上方便也簡單

14
kaoc
iT邦新手 1 級 ‧ 6 年前

中華電信查到有對外攻擊

這代表公司內部網路有問題, 但是不代表這個病毒只會對外攻擊, 實際上也會對內攻擊的可能性極高

因此光是從 firewall 上去看流量統計還不夠

建議是使用工具--(收費 or 免費), 直接在 switch 交換機上觀察每個 port 的流量和封包數目!!

kaoc iT邦新手 1 級 ‧ 6 年前 檢舉

看switch的廠牌,一般會有Web UI,上面看看有沒有流量統計資訊;比較有網管功能的switch則會支援更多指令,價格也比較貴,一分錢一分貨。

12
gavinnokia
iT邦研究生 3 級 ‧ 6 年前

直接看switch或是hub的燈號比較快.
如果是中毒或是木馬.又有在大量攻擊時那台的燈號會閃的特別快.

taleships iT邦新手 4 級 ‧ 6 年前 檢舉

我是路人@@
我們公司的SWITCH每個燈號都閃很快耶
那要怎麼確定有無中毒

kaoc iT邦新手 1 級 ‧ 6 年前 檢舉

可以利用中午吃飯時間或是下班時間看呀...
但是這個不準啦,還是要找個工具來用。

我要發表回答

立即登入回答