第1个回答 2024-08-13
利用流量镜像技术,结合威胁情报分析,对个人终端电脑进行安全检测是一种高效的方法,它有助于迅速发现主机异常流量,并提取恶意程序。
近期,我对自己的电脑进行了测试。
1、设备部署
我选择了锐捷“睿易网络交换机RG-ES205GC”作为流量镜像的交换设备,这款设备价格实惠,易于配置,体积小巧。我将待检查的电脑连接至交换机1口,抓包电脑连接至3口。
2、流量镜像
在测试过程中,我尽量关闭了待检查电脑上的联网程序,保持静默联网状态。在抓包电脑上安装了wireshark软件,通过一晚上的抓包,提取了对外连接的IP地址和DNS域名。DNS域名的提取,我使用了科莱官网提供的免费流量软件。
3、威胁情报比对
将提取的对外连接IP和域名与威胁情报进行比对,感谢奇安信威胁情报平台的支持。比对结果显示,我对外网络连接的IP地址中有两条为恶意IP,这可能意味着主机内部感染了恶意程序。
4、风险隐患研判
从抓取的流量镜像中,我提取了涉及上述两条IP地址的报文进行分析,感觉没有问题。随后,我请奇安信、微步安全专家帮忙分析。经奇安信专家提醒,威胁情报提供的端口与我的通讯端口不一致,可能是黑客曾经利用CDN等手法使用过这个IP地址,我的电脑网络通讯是正常的。微步安全专家也确认了流量正常。
感谢以下人员的支持:
溧水曾老师,锐捷相关代理及工程师,奇安信、微步安全团队。