Hello大家,
這邊先祝各位中秋節快樂~~~
繼之前的主題我們講完了內對外的部分,
接著來看外對內怎麼處理,
其實作法大同小異,
所以我們講完做法之後我們可以來探討一下有哪些可以加入分析的因素,
首先呢~
外對內的流量也就是說來源應該是在外部,
兩種做法
1.把外部的IP挑出來
2.把內部的IP過濾掉
但外部的IP太多段了!
而且我們也不清楚到底有會有來自哪裡的IP來訪問我們,
所以我們就會走方案2,
{
"query": {
"term": {
"[來源IP]": "[內部網段]"
}
}
}
範例的寫法如下
{
"query": {
"term": {
"SrcIP": "10.0.0.0/8"
}
}
}
做到這邊我們就是把內網的IP都挑出來,
再來我們就是反轉他,
這樣就可以獲得來源端不是內網的IP,
換句話說就是去得外部的IP拉~~
後面的動作一樣就是把表拉出來或畫成圖來協助我們去做辨識!
iThome鐵人賽
看影片追技術