企业网络建设-网络监听(下)

admin 2020年10月12日20:57:50评论286 views字数 774阅读2分34秒阅读模式

前言:上文已介绍两种最常见的通用网络监控模型,本文介绍一个我目前见过最棒的网络拓扑模型:




企业网络建设-网络监听(下)

如上图所示:

  1. 员工电脑采用准入,必须指定MAC才能接入,可以防止外来PC接入内网

  2. 内网除了浏览器,其他应用程序均不出网

    Windows采用Auto proxy configuration

    linux采用类型proxychains的在启动的时候,封装命令

  3. 所有出网流量都经过代理,可以监控所有出口流量,防泄漏,防黑客。

  4. 因为只有浏览器出网,所以可以有效防御木马回连。


攻击利用

虽然这样可以有效限制木马回连,但是有防就有攻,简单介绍下在这种模式,木马如何回连。方法有很多,比如获取浏览器session,生成子进程继承网络配置。这个通过查注册表来配置CMD/powershell的网络环境

#获取ie代理REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v ProxyServer#获取auto config url配置文件位置REG query HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet" "Settings /v AutoConfigURL#查看配置文件,关键字索引找出代理地址type xxx/xxxx/xxx/x.pac |findstr "xxxx"配置代理:方法1netsh winhttp import proxy source=ie方法2netsh winhttp set proxy proxy-server=""方法3set http_proxy=""可以给木马写个判断,当前是否能回连,不能则尝试以下方法,直到可以出网回连


本文始发于微信公众号(边界骇客):企业网络建设-网络监听(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月12日20:57:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   企业网络建设-网络监听(下)https://cn-sec.com/archives/156010.html

发表评论

匿名网友 填写信息