那么也就是说我们客户的内部网络,已经开始遭受到横向攻击了,这是横向,这是纵向,其实都是都是换一个方向的话,也可以把它理解成为横向,所以说我们统称为已经发起了横向攻击,也就是我们常说的内网渗透,好,并且还有什么?并且我们还发现在这么多的告警服务器里面,我们还发现10.1是为预控服务器,预控服务器下面是管着我们所有的家庭成员的,就好比这个是我们的预控服务器,然后这个是所有的其他的服务器,其他所有的服务器它是管控着所有的服务器的,像比如说像某东某里某多多呀,是不是成千上万个用户,他要去访问这些资源,它是需要有很多的服务器去支撑的,那么这个预控服务器也就是这个预控服务器,它是可以控制所有的服务器的,简单的来说,他就是家庭里面的老大,他就家庭的老大,最具有话语权的一个人,你已经控制了他,那么你就控制了他下面所有的人。
是这样子,那么这个就是发生告警的里面,我们还发现了10.1是域控服务器,所以说我们初步推断内网已经沦陷了,所以我们必须要上机排查。这个就是我们的一个设备告警图,我把这个图放大。好,这个就是我们的一个设备告警图。在某某年的5月10号的时候,这个是内网也就是1.50也就是受害者,受害者是在左边,攻击者是在右边,受害者是在左边,攻击者是在右边。
那么10.50这一个和攻击者这边是建立了一个连接,建立什么连接?是连接到了公网的ftp服务器,也就是我们刚才说的,他主动的去找攻击者聊聊天去了,当他们两个取得联系以后,攻击者就已经对他就其实是已经对我们的这个内网的10.50这位同志,已经开始干什么?已经进行了控制,那么攻击的是成功的。
好,再往下,我们在这个流量报警图上面还可以看到什么?好像也没有别的什么东西了,然后这个下面就是一个比较详细的一个图,那受害者在左边,攻击只能在右边,连接的时候是通过连接攻击者的12345端口进行连接了,所以说我们在上面这个图,也是可以看得到的,是不是12345这个端口去连接了,那么源IP也就是我们受害者的IP,是左边的这个1.50,那么目的IP也就是我们攻击者的95.95.1234345,那么什么是源IP?
什么是目的IP?因为当前的这个攻击告警是连接的攻击告警,也就是它从内网跑到外面去找别人沟通的这个告警,那么。源IP也就是受害者,那么目的IP就是他要去找到谁,去找到谁和谁沟通和谁聊天是吧?那这个就是我们的目的IP,我们的目的IP,下面是一些报文信息,那么这个就是我们通过从我们的设备上报警上面去得到的一些信息,这个就是我们为什么要去上级取证分析的一个原因。再往下我们就进入到了详细的取证环节,所有产生告警的,并且有可能被污染的被感染的主机,我们都会进行上级取证和分析和排查,那么接下来就进入到了我们的详细取证过程,这一个部分。
还没有评论,来说两句吧...