iT邦幫忙

0

如何查找公司內對外攻擊的裝置

Qmo 2021-07-30 14:53:082328 瀏覽
  • 分享至 

  • xImage

我是一位對網路監管有點菜的MIS

近期用中華電信的即時監控有發現公司網路有內對外攻擊的跡象
攻擊類型為ICMP-Frag-Needed-Storm

公司目前有FG-60E的防火牆
以及趨勢的防毒中控

有兩位主管的電腦不在防毒中控下 使用各自的防毒軟體

這兩天在抓那台裝置抓不太到
因為即時監控有寫攻擊時間所以可以先排除不在的電腦來過濾
但攻擊頻率很低 可能三四小時才來一次 甚至半天都沒有

所以我很難確定我過濾的電腦是不是就是中標仔

想請問各路豪傑 我該怎麼做才可以找到正在發送攻擊的裝置

ahfuyeuem iT邦研究生 4 級 ‧ 2021-07-30 14:57:59 檢舉
可以貼一下即時監控記錄了些甚麼資料,有防火牆了還要自己去排除不再的電腦有點土法煉鋼。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
純真的人
iT邦大師 1 級 ‧ 2021-07-30 15:42:02

檢查你們的監視器主機吧~
搞不好是監視器中毒~被當殭屍電腦騷擾別人~

Qmo iT邦新手 5 級 ‧ 2021-07-30 17:19:25 檢舉

公司沒有監視器XD,之前工廠監視器中標那個內對外每天頻率超高我很快就找到了,但這次頻率非常非常低,像今天就只有四次內對外攻擊....

0
mytiny
iT邦超人 1 級 ‧ 2021-07-30 15:54:02

樓主之前不是已經限制上網的IP嗎?
那麼能上網的應該可以很容易知道是剩下的那些?

另外,可以善用Fortigate的功能
既然即時監控有發現公司網路有內對外攻擊
就可以用目的地IP來FortiView搜索
這樣一下就可以知道是哪些人(來源)去攻擊了
請善用FortiView的Filter功能

另外,如果有購買FortiGuard的服務
請使用IPS功能(內對外)
這樣可以阻止對外攻擊,免得線路被停用

Qmo iT邦新手 5 級 ‧ 2021-07-30 17:18:00 檢舉

有 但是目前就是公司內部電腦不知道哪台中標
而且都掃毒過了
FortiView的部分 來源跟目的都有觀察
但就是一直沒有甚麼貓膩 連線數 頻寬之類的都沒有過大或過多

我們家主管有點摳哈哈哈 我可能要問問還要不要繼續續那個服務 不過這是一個可以參考的點我會詢問看看

Qmo iT邦新手 5 級 ‧ 2021-07-30 17:29:05 檢舉

關於目的地ip搜索我試過 找不太到XD
他通常攻擊玩 就不見了 我以為是我沒有找到
如果你都這麼說了那我可能要更加專心地等訊號出來趕快去搜尋!

mytiny iT邦超人 1 級 ‧ 2021-07-30 21:25:55 檢舉

通常所謂的即時監控記錄有關攻擊的LOG
至少應該會有時間點及目的地吧
FG-60E的FortiView雖不能存很久
但應該收到通知就立刻去查至少會有一些蛛絲馬跡
當然還有一種可能就是某些發syn flood的IP也會被警示
但未必是惡意的攻擊(尤其頻率及數量這麼低)
不能完成三向式交握的,就沒有session,應不會有LOG
一切還是以IPS的警示為準
因為IPS畢竟是以全球攻擊資料庫做比對
產生誤判的機率比較低

0
mathewkl
iT邦高手 1 級 ‧ 2021-07-31 22:11:49

攻擊模式有被IPS或其他防護偵測到嗎?
有就會留下紀錄,看Source IP是誰在用就能抓到是誰了

0

Before anything else, I wanted to share some supermarket manager games with all of you. Yeah, I know this is not related to the topic. All I want is to give you those games for you to play if you are stress. But if you don’t like that kinds of games, maybe an action game, but before I share the download link for Guns Of Glory game, you need first to read Guns Of Glory: The Iron Mask for beginners here.

我要發表回答

立即登入回答