如何快速判断客户端是否存在恶意连接

  当我们需要判断一个客户端是否存在恶意连接，最直接的方式是通过防火墙或安全设备的日志进行分析，但由于各种原因，如相关特征库未及时更新，又或者没有完善相关的安全策略，导致没有监控到相关的恶意行为，这时候可以通过网络数据包分析来判断客户端是否有这样的问题

分析举例：

1.数据包样本说明

  样本数据包里面有139个TCP会话，几乎所有会话都与域名访问有关，见下图：

  如何从这139个TCP会话中，快速判断出客户端是否存在恶意连接，可以通过以下步骤进行分析：

2.分析步骤

2.1对客户端访问的域名进行分类，排除正常连接

    如果一级域名是常用域名或者一些比较著名的域名，在后续的安全分析中，可以排除这一部分域名。如microsoft.com（微软）等域名的会话，一般可以排除是恶意连接，如下图所示：

2.2 结合端口和协议进行分析，排除正常连接

       135端口是很多恶意程序都会使用到的端口，在很多情况下，并不会出现某个域名+135端口的访问方式，但如果终端访问某个域名，不只有135端口的连接，还有389端口的LDAP协议连接，那这个135端口的连接，一般是正常连接。如下图所示：

2.3 通过非常规一级域名结合安全情报，找出异常连接

       如果客户端连接的域名以.cc , .xyz , .biz等非常规字段进行结尾，就很有可能是恶意连接，再结合安全情报，可以快速判断出恶意连接，如下图所示：

2.4 通过解包分析，判断客户端是否已被入侵

       通过解包情况，确认样本数据包的客户端已经与恶意地址有数据交付，证实客户端已被成功入侵，如下图所示：

3.分析总结

    通过以上几个步骤，可以快速判断客户端是否存在恶意连接， 以上列出的步骤，都是一些分析思路，可以根据实际情况，在分析中调整先后顺序，最终达成快速分析的目标即可。

原文始发于微信公众号（菜鸟小新）：如何快速判断客户端是否存在恶意连接