小天管理 发表于 10月10日 发表于 10月10日 前置信息:1 、被攻击者,我们假设为电脑 A,IP 地址为 192.168.1.1 ,是员工个人电脑2 、攻击者,我们假设为电脑 B ,IP 地址为 192.168.1.23 、A 和 B 在同一网段事件详情如下:A 电脑上安装的火绒安全提示在被 B 进行 SMB 扫描爆破攻击,根据火绒的安全防护日志显示,本次共计共持续了 2 到 3 天,每次攻击的开始时间都是在下班后,攻击停止时间就是在上班时间开始的时候。排查:1 、经过网管排查,B 的 IP 实际已经至少 300 多天没使用过了,这个 IP 并没有实际使用人;2 、通过 A 电脑的 arp -a 命令,可以获取到 B 的 IP 地址与 MAC 地址;3 、A 使用的是网线连接电脑;4 、A 的使用者并未私接网关、路由器等网络分接设备;公司网络环境与安全软件:1 、每台电脑有安装加密软件,该软件会自动搜集电脑的 IP 地址与 MAC 至后台;2 、公司内网段并没有做严格的分段处理;3 、没有态势感知、edr 、蜜罐等安全设备;4 、小公司,不大求助各位大佬,还能如何排查,如何找到这个攻击源?
已推荐帖子
创建帐户或登录来提出意见
您需要成为会员才能提出意见
创建帐户
注册成为会员.只要几个简单步骤!
注册帐户登录
已经有帐户? 请在此处登录.
现在登录