网络流量抓取 conv.docxVIP

流量分析

笔记本： 应急

创建时间： 2022/10/189:12

1、概述

最近遇到的一个案例，某用户被监管机构通报，该企业内网存在一僵尸木马向境外某一ip发起访问，用户在接到通报后进行分析，进行内网排查，内网情况如下：1、被通报的公网出口，主要是办公网出口，内网办公电脑大约200多台；2、边界安全设备存在一台防火墙，但是防火墙没有上网行为管理功能，其访问日志记录的也不全；

3、内网内没有其他安全设备进行日志记录；综合用户的描述，简单画出如下拓扑图，

从图中可看到，核心交换机上先是进行了vlan划分，然后用户被分为了不同的网段，最后通过防火墙出口访问互联网。通报中也已经明确