主机安全应急响应 什么是内对内攻击?

         好的,接下来就进入到了我们的取证环节,我们为什么会去上级取证?是因为我们在安全设备上面发现了告警,在某某某监测平台上面监测到客户的主机,注意这也是客户的主机,也就是甲方的这个电脑,内部的电脑0.781 0.11.50等多个客户的主机是存在多条成功的攻击告警的。那么也就是说,在这么多的被攻击的主机里面,是有好几个是有可能已经被成功打穿了。

那么同时我们还通过设备上面的一些信息去分析得到什么,得到不仅存在内对外的攻击,并且还存在内对内的攻击。那么什么是内对外的攻击?我们来看一个图。好,那么客户的内网就像是我们的自己小区里面自己的家,我们的家庭是比较和睦的,对不对?那么同时如果不允许你进来,你也是不能进来的,而且由于是在公司里面,我们是在自己的家里面,我们平时没有事情也不会往外跑的,懂了没有,如果往外跑的话我们一定是知道的,那么正常来说是不会往外跑的,那么内对外的攻击就是我们家的人。他往外跑了。

那么什么是外网?外网就像是我们小区的休闲场所,你可以去,我可以去,大家都可以去。我们家的人也可以去,对不对?但是一般的不去。那么当当我们。从监测上设备上面发现。我们的这个客户的内网发生了什么,内对外的攻击以后,那么也就是说这一台电脑很有可能已经沦陷了,并且已经被攻击者控制了,所以他才会主动的干什么?往外走,这么说能理解吧?他已经被控制了,所以说他才会主动的往外走,他才会不断的去对外对外面请求发包。然后他只有他只有往外走和和我们的攻击者取得联系以后,我们的攻击者才可以对他下发一些指令,懂了没有?

我们的攻击者才可以对他下发一些指令,所以说它必须要往外走,那么ok,随后我们又发现了内对内的攻击,什么是内对内的攻击,我们家庭本来是很和谐的,是不会打架的对吧?但是当发生内对内的攻击的时候,这个时候说明什么?说明这一个攻击的请求,或者说这一个攻击的指令,并不是他自己想去执行的,而是谁,而是攻击者通过沟通他,然后再由他去对我们内部的家庭成员去发起了攻击行为。

分享: