企业网络建设-网络监听(下)

  • A+
所属分类:安全文章 安全闲碎

前言:上文已介绍两种最常见的通用网络监控模型,本文介绍一个我目前见过最棒的网络拓扑模型:




企业网络建设-网络监听(下)

如上图所示:

  1. 员工电脑采用准入,必须指定MAC才能接入,可以防止外来PC接入内网

  2. 内网除了浏览器,其他应用程序均不出网

    Windows采用Auto proxy configuration

    linux采用类型proxychains的在启动的时候,封装命令

  3. 所有出网流量都经过代理,可以监控所有出口流量,防泄漏,防黑客。

  4. 因为只有浏览器出网,所以可以有效防御木马回连。


攻击利用

虽然这样可以有效限制木马回连,但是有防就有攻,简单介绍下在这种模式,木马如何回连。方法有很多,比如获取浏览器session,生成子进程继承网络配置。这个通过查注册表来配置CMD/powershell的网络环境

#获取ie代理REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v ProxyServer#获取auto config url配置文件位置REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v AutoConfigURL#查看配置文件,关键字索引找出代理地址type xxx/xxxx/xxx/x.pac |findstr "xxxx"配置代理:方法1netsh winhttp import proxy source=ie方法2netsh winhttp set proxy proxy-server=""方法3set http_proxy=""可以给木马写个判断,当前是否能回连,不能则尝试以下方法,直到可以出网回连


本文始发于微信公众号(边界骇客):企业网络建设-网络监听(下)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: