我是一位對網路監管有點菜的MIS
近期用中華電信的即時監控有發現公司網路有內對外攻擊的跡象
攻擊類型為ICMP-Frag-Needed-Storm
公司目前有FG-60E的防火牆
以及趨勢的防毒中控
有兩位主管的電腦不在防毒中控下 使用各自的防毒軟體
這兩天在抓那台裝置抓不太到
因為即時監控有寫攻擊時間所以可以先排除不在的電腦來過濾
但攻擊頻率很低 可能三四小時才來一次 甚至半天都沒有
所以我很難確定我過濾的電腦是不是就是中標仔
想請問各路豪傑 我該怎麼做才可以找到正在發送攻擊的裝置
已邀請的邦友 {{ invite_list.length }}/5
檢查你們的監視器主機吧~
搞不好是監視器中毒~被當殭屍電腦騷擾別人~
樓主之前不是已經限制上網的IP嗎?
那麼能上網的應該可以很容易知道是剩下的那些?
另外,可以善用Fortigate的功能
既然即時監控有發現公司網路有內對外攻擊
就可以用目的地IP來FortiView搜索
這樣一下就可以知道是哪些人(來源)去攻擊了
請善用FortiView的Filter功能
另外,如果有購買FortiGuard的服務
請使用IPS功能(內對外)
這樣可以阻止對外攻擊,免得線路被停用
有 但是目前就是公司內部電腦不知道哪台中標
而且都掃毒過了
FortiView的部分 來源跟目的都有觀察
但就是一直沒有甚麼貓膩 連線數 頻寬之類的都沒有過大或過多
我們家主管有點摳哈哈哈 我可能要問問還要不要繼續續那個服務 不過這是一個可以參考的點我會詢問看看
關於目的地ip搜索我試過 找不太到XD
他通常攻擊玩 就不見了 我以為是我沒有找到
如果你都這麼說了那我可能要更加專心地等訊號出來趕快去搜尋!
通常所謂的即時監控記錄有關攻擊的LOG
至少應該會有時間點及目的地吧
FG-60E的FortiView雖不能存很久
但應該收到通知就立刻去查至少會有一些蛛絲馬跡
當然還有一種可能就是某些發syn flood的IP也會被警示
但未必是惡意的攻擊(尤其頻率及數量這麼低)
不能完成三向式交握的,就沒有session,應不會有LOG
一切還是以IPS的警示為準
因為IPS畢竟是以全球攻擊資料庫做比對
產生誤判的機率比較低
Before anything else, I wanted to share some supermarket manager games with all of you. Yeah, I know this is not related to the topic. All I want is to give you those games for you to play if you are stress. But if you don’t like that kinds of games, maybe an action game, but before I share the download link for Guns Of Glory game, you need first to read Guns Of Glory: The Iron Mask for beginners here.
iThome鐵人賽
看影片追技術