公司内网被黑了,防火墙没报警,杀毒软件没动静,日志里也找不到明显异常——最后发现,攻击者早就混进来了,在服务器之间跳来跳去,像逛自家后院。问题出在哪?不是没设防,而是只盯着大门(边界),却忘了装摄像头看走廊和房间(内部流量)。
为什么内部流量监控是防御体系的‘隐形守门人’
传统思路总以为:外网进不来,内网就安全。但现实是,钓鱼邮件、U盘带毒、员工账号泄露……攻击者早就有了一张‘内网通行证’。一旦落地,他们最怕什么?不是防火墙,而是被盯上——比如某台平时只收发HTTP请求的数据库服务器,突然开始向一台测试机发起大量SSH连接;或者财务终端在凌晨三点往一个陌生IP传了800MB加密文件。这些动作,边界设备根本看不见,只有内部流量监控能揪出来。
怎么监?不是堆工具,而是建视角
不一定要上百万级的SIEM平台。中小网络可以从三个基础层入手:
1. 交换机镜像端口 + 流量分析工具
把核心交换机的镜像端口(SPAN)接一台普通PC,装Wireshark或更轻量的ntopng。不用全包捕获,先开NetFlow/sFlow,看TOP 10通信对、协议分布、异常端口连接。比如发现内网机器频繁访问4444端口(常见Metasploit监听端口),立刻查。
2. 主机侧进程+网络行为联动
Windows用Sysmon记录网络连接事件,配合EVTX日志;Linux用auditd+ss命令定时快照。关键不是存日志,而是设规则:‘非运维时段,任意主机向外发起TCP连接且目标端口>1024,且无对应进程白名单’——这类告警,比‘检测到木马特征’更早、更准。
3. DNS查询日志别忽略
很多C2通信走DNS隧道。在内网DNS服务器(如BIND或Windows AD-DNS)上开启查询日志,用脚本定期扫:
grep -E "(\.[a-z]{5,}\.[a-z]{2,}|[0-9]{8,}\.)" /var/log/named/query.log | awk '{print $7}' | sort | uniq -c | sort -nr | head -10一个小技巧:给正常流量‘画个圈’
花半天时间跑一遍内网资产扫描(nmap -sn 192.168.1.0/24),再抓24小时流量,用Wireshark过滤‘ip.src == 192.168.1.10 and tcp.port == 3306’,确认MySQL只和应用服务器通。之后只要看到192.168.1.10连了其他IP的3306端口,就是红线信号。监控的本质,不是识别所有坏人,而是快速发现‘不该这么干’的事。
内部流量监控不是增加负担,是让防御体系真正长出眼睛和神经。门锁再好,也得知道家里有没有陌生人来回踱步。