局域网攻击,公司的局域网内许多机子发包攻击?
你这是中了arp病毒了,首先必须将所有局域网内的电脑拔掉,然后进行杀毒,清楚病毒,清除一台接到路由器上一台。这样可以祛除病因。

为避免以后再次发生中毒现象,可以利用你的路由器功能比较强大功能,用你的路由器自带的arp主动防御及mac绑定,可以防止arp病毒攻击。
另外从你的路由器看不出能不能划分vlan,防止此类病毒的另一个有效手段是进行vlan划分,每台电脑一个vlan,这样即使中毒也影响不到别人了。
如果有人在网络攻击你?
未知威胁永远存在,网络要么已经被攻陷,要么正在被攻陷的路上。所有安全从业人员都希望自己能开启上帝视角,能看清黑客攻击,能应对0Day漏洞,能阻止APT攻击…….但事与愿违,更多时候我们对黑客攻击一无所知。
更可怕的是,我们既不知道黑客是怎么进来的,也不知道黑客拿走了什么,更不知道黑客留下了什么。面对黑客攻击时,企业受到了多大损失,这是所有企业CEO最关注的问题。比如,数据库是否被窃取、敏感数据是否泄露、业务代码是否泄露等问题。
Question 1
企业受到了多大损失?
99%企业都无法确定黑客到底“拿走”了什么,这比入侵本身更可怕。试想一下,如果小偷进家里了,但是你却不知道自己丢失了什么,这意味着“警察叔叔”也爱莫能助。作为一个CEO、CIO或CTO,他们也许不直接负责IT安全,甚至只有少部分人对此能有较为深刻的理解。但如果“天花板”坠地时,他们一定是首要责任人。例如之前索尼影视、韩国金融公司KB Financial、AOL美国在线等一大批不同行业机构高管都因为黑客攻击带来的巨大损失而不得不引咎辞职。
在面临不同等级的入侵事件时,企业的应对策略是完全不同的。因此,如何评估黑客入侵对企业造成的损失事关重大。通过准确的入侵损失评估,既能够有效降低应对攻击成本,也有利于企业品牌制定合理的公关应对策略。但这也并非易事,如果仅仅依靠IPS、IDS等传统检测手段,很容易被黑客绕过,会出现大量误报、漏报。
此外,因为流量加密等手段广泛应用,想要通过网络端的流量分析来确认黑客异常行为已经不可能,只能将目光聚焦到主机内部。虽然黑客攻击手段多种多样,但其攻击行为通常都会在服务器上产生对应的操作痕迹。因此,黑客的攻击行为通常都是有迹可循,只需记录这些异常操作行为,并通过大数据分析,就可确定其攻击行为和带来的危害。例如,黑客在窃取敏感数据时,将会执行特定的数据库操作,通过分析该行为就能判断黑客拿走了哪些数据。
Question 2
黑客是怎么进来的?
企业负责人最关注的是黑客拿走了什么,而安全人员往往最关注的是黑客是怎么进来的。不知攻,焉知防?安全人员需要结合资产状况、入侵的攻击路径等信息来确定受攻击影响的资产状况。根据黑客残留痕迹的位置,并向上或向下回溯其它服务器,确定被黑客攻击的“缺口”。
例如,通过分析系统的登陆日志来查找异常登陆情况,以及检查网络访问日志查找失陷主机。基于多日志的综合分析,分析黑客入侵期间的所有操作,就可以还原完整攻击过程,确定入侵攻击的入口。
Question 3
黑客还留下了什么?
黑客就像幽灵一样,在入侵服务器后,往往会留下多个后门,为下次入侵提供便利性。举个简单例子,黑客在攻入某台服务器后,将分阶段埋入多个入侵点,并在某次攻击时启用其中一个后门,典型“狡兔三窟”。例如,写入计划任务以重新启动后门。植入一些程序代码以备后续再次入侵站点。
因此,入侵事件之后,安全人员需要通过排查关键位置,来确定残留问题,比如是否存在残留计划任务,是否存在一些尚未启动的后门程序,是否在业务服务中植入一些特定代码等。
Solution
三大问题,一个对策
黑客是怎么进来的,又拿走了什么,以及留下了什么?如何解决这三大难题是摆在所有企业安全人员面前的一大难题。系统本身并不能详细记录进程启动、主机操作等日志,而基于Agent重新采集主机数据,将为安全事件分析提供丰富的数据支撑。
三大问题,一个对策。青藤星池·大数据分析平台,使用大数据技术存储主机日志,从安全角度引导客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。产品基于ES系统,可在5s内获得查询结果,同时对TB级数据进行统计分析,并保证数据至少保留180天,并可导入其他系统使用。
青藤能够提供独有的关键事件数据,包括操作审计日志、进程启动日志、网络连接日志、DNS解析日志等。每一个进程启动过程都会被记录下来,并且可以与网络连接日志、DNS解析日志进行关联。这将助力安全人员快速精准定位问题,彻底解决通过传统日志进行溯源时只能定位到哪台机器被黑,但是无法定位到具体进程的问题。
此外,青藤大数据分析平台,提供自研QSL语法,采用”字段名+连接符+查询关键字“的检索方式,具有极强的扩展性与灵活性,可跨日志查询数据,发现数据特点与安全线索。允许用户使用SQL式的语法查询,如下图所示:
select * from net_connect where dst_port=3306 or src_port=3306
Process
实践过程:一个APT后门排查过程
在日常繁琐的运维工作中,对服务器进行安全检查是一个非常重要的环节。在黑客攻击之后,如何深入调查失陷成因与影响范围尤为重要。下文将基于青藤大数据分析平台,深入分析一个APT后门排查过程。
怎么检测局域网被病毒攻击?
打开腾讯电脑管家,点击主界面中的“工具箱”按钮,并在打开的扩展面板中点击“ARP防火墙”项。
在打开的“ARP防火墙”界面中,切换至“状态”选项卡,点击开启ARP防火墙。
接着切换至“设置”选项卡,勾选“手动配置网关/DNS”。
并点击“绑定网关/DNS”按钮,手动输入网关和其MAC地址。
ARP防火墙开启后,当局域网再次发生ARP攻击时,就会给出提示,同时在“拦截日志”选项卡中,可以查看ARP攻击记录,当然也包括产生ARP攻击的源计算机。
当获取ARP攻击源后,我们可以采取相应的措施进行处理。例如我们可以采取隔离措施,这可以使用软件来实现。直接上网搜索下载“大势至内网安全卫士”并下载。
运行该软件,在其主界面中勾选“发现局域网ARP攻击时自动隔离”项。
 接着选择“网卡类型”,点击“开始监控”按钮。
点击“移至白名单”按钮,将“黑名单”中的计算机全部或部分移动到白名单中就可以实施有效监控啦。
电脑总是提示遭到arp攻击?
arp是局域网常见的攻击手段了: 开始-运行-cmd 然后输入 arp -a 可以看到所有网关的列表,但是正常情况下,应该只有一个网关,多出来的,肯定是arp攻击发起者的电脑伪装的网关。
然后arp -d. 清除所有网关,然后你的电脑会自己找网关。
然后在arp -a.列出新找的网关,如果仍有多个,再继续arp -d. 知道arp -a只出现一条记录 这个列表会显示网关的IP地址和MAC地址 输入 arp -s xxx.xxx.xxx.xxx ab-cd-ef-gh-ij-kl xxx.xxx.xxx.xxx表示网关的IP地址 ab-cd-ef-gh-ij-kl表示网关的MAC地址。
局域网内有一个人老下BT?
不一定别人会这个技术,涉及到漏洞扫描,端口利用和入侵检测,大多数电脑都有360和电脑管家,还要加上硬防火墙和软防火墙,所以排除是大牛的情况下,一般都是局域网内的电脑中毒了。我以前也遇到过一次,差点以为部门内隐藏了大神,我还特别小心的过去问你的IP在攻击我的电脑,能不能手下留情。[捂脸][捂脸][捂脸][捂脸],别人压根不知道咋回事儿,再一看是传染病毒。


还没有评论,来说两句吧...