前言:上文已介绍两种最常见的通用网络监控模型,本文介绍一个我目前见过最棒的网络拓扑模型:
如上图所示:
-
员工电脑采用准入,必须指定MAC才能接入,可以防止外来PC接入内网
-
内网除了浏览器,其他应用程序均不出网
Windows采用Auto proxy configuration
linux采用类型proxychains的在启动的时候,封装命令
-
所有出网流量都经过代理,可以监控所有出口流量,防泄漏,防黑客。
-
因为只有浏览器出网,所以可以有效防御木马回连。
攻击利用
虽然这样可以有效限制木马回连,但是有防就有攻,简单介绍下在这种模式,木马如何回连。方法有很多,比如获取浏览器session,生成子进程继承网络配置。这个通过查注册表来配置CMD/powershell的网络环境
#获取ie代理REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v ProxyServer#获取auto config url配置文件位置REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v AutoConfigURL#查看配置文件,关键字索引找出代理地址type xxx/xxxx/xxx/x.pac |findstr "xxxx"配置代理:方法1netsh winhttp import proxy source=ie方法2netsh winhttp set proxy proxy-server=""方法3set http_proxy=""可以给木马写个判断,当前是否能回连,不能则尝试以下方法,直到可以出网回连
本文始发于微信公众号(边界骇客):企业网络建设-网络监听(下)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论