V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mrcn
V2EX  ›  宽带症候群

pfsense 等防火墙能否记录网络访问日志,查出异常流量?

  •  
  •   mrcn · 2023-05-04 20:57:51 +08:00 · 2982 次点击
    这是一个创建于 552 天前的主题,其中的信息可能已经有所发展或是发生改变。

    团队的内网中存在一些异常流量,被信息化中心检测到了,要求我们整改。

    我们目前就是用的普通路由器,所以没法搞清楚是哪个设备出了问题。因为有空闲的电脑,想安装 pfsense 之类的防火墙系统,从而对内网的流量进行一定程度的记录,从而揪出有问题的设备;或者有依据之后,也可以自信的回复信息化中心是他们误判了。

    不知道能否达成目的?

    17 条回复    2023-05-05 20:06:44 +08:00
    yyzh
        1
    yyzh  
       2023-05-04 21:05:05 +08:00   ❤️ 1
    你确定公司给你自己弄防火墙而不是找信息化中心?别到时候又把事情闹大.
    tomczhen
        2
    tomczhen  
       2023-05-04 21:09:29 +08:00 via Android   ❤️ 1
    弄个台镜像流量的三层交换机,配合抓包软件就行了,推荐科来,免费版一般也能满足你们这种规模的公司了。
    dann73580
        3
    dann73580  
       2023-05-04 21:10:31 +08:00   ❤️ 1
    Pfsense 是没问题的,来这里看看:

    https://pfschina.org/wp/

    不过有个问题,如果是企业的话还是不好自己搞软路由,要走正规渠道采购吧。

    那不妨看看国内成品路由器,爱快,派网,之类的产品,会不会更好?
    mrcn
        4
    mrcn  
    OP
       2023-05-04 21:17:09 +08:00
    @yyzh
    @tomczhen
    @dann73580
    感谢各位回复,是在高校,已经沟通过了,只要信息化中心的系统检测通过就可以了。

    个人认为他们是误判的概率居多,因为他们说检测到了挖矿的流量,这点还是比较有数的,应该是不太可能的。只是现在我们没有相关的记录,我们也无法辩驳。让我们建立网络日志与台账以便排查也是他们给出的思路,行政上应该是没有什么问题的。

    要直接买一台防火墙当然最省事,只是经费有限,所以想着跟各位探讨一下成本低一些的方案。
    yyzh
        5
    yyzh  
       2023-05-04 21:41:02 +08:00   ❤️ 1
    luoshengdu
        6
    luoshengdu  
       2023-05-04 21:43:59 +08:00   ❤️ 1
    www.panabit.com x86 架构,3 个网口。基于有 freebsd 系统和 linux 系统可选部署方式。可桥接在出口处分析网络流量
    azuis
        7
    azuis  
       2023-05-04 21:44:34 +08:00
    @mrcn 挖矿很有可能是因为中病毒导致,可以先检查下是否都安装反病毒软件并全盘扫描一下。
    luoshengdu
        8
    luoshengdu  
       2023-05-04 21:45:46 +08:00
    panabit 的免费版:256IP ,65k 连接数限制。超出部分显示为未知流量,没有做限制
    patrickyoung
        9
    patrickyoung  
       2023-05-04 21:50:19 +08:00 via iPhone
    @mrcn #4 挖矿这个检测这么多年了,技术是比较成熟的,一般不会错。
    scys
        10
    scys  
       2023-05-04 22:43:50 +08:00
    申请资金,买一台破烂的企业级路由,将记录日志丢回去即可...
    ihacku
        11
    ihacku  
       2023-05-05 01:30:59 +08:00 via Android
    如果只是为了解决挖矿这个 可以试下简单的方式 https://onedns.net/
    或者直接问下触发了哪个域名,反查是什么 ip 触发的或者直接指向到 0.0.0.0
    datocp
        12
    datocp  
       2023-05-05 07:05:17 +08:00 via Android
    哈哈,想起当年用网康的时候,去问同事你们怎么不务正业,人家一脸委屈的说没啊。。。

    对于那些安装了 p2p 的电脑,能怎么搞。
    nuk
        13
    nuk  
       2023-05-05 08:29:00 +08:00
    可以试试 opnsense 的 netflow 功能,pfsense 默认安装只能 pflog 或者 tcpdump 来记录,要么缺少现成的分析工具,要么对系统负载影响太大
    lvcnsc
        14
    lvcnsc  
       2023-05-05 09:48:32 +08:00
    他们应该可以提供挖矿的目标地址,然后在内网查找谁在访问这个地址就很好找了。

    前年电信把公司网络直接给掐了,说是在挖矿,并提供了一个截图,包含了矿池的地址,直接路由器看谁在访问然后去处理掉就完事了..
    不过他们最初提供的截图不完整没目标地址,还是后来去要的。。
    bingfengfeifei
        15
    bingfengfeifei  
       2023-05-05 10:50:18 +08:00
    @mrcn 挖矿不太可能误判,而且内网大概率是弱密码或者漏洞被中毒的挖矿机横向扩展了。现在的网络环境非常恶劣,还是上点内网安全吧
    greenskinmonster
        16
    greenskinmonster  
       2023-05-05 13:50:53 +08:00
    pfSense -> ntopng -> elasticsearch ,理论上可以把实时流量记录下来,再进行分析。
    systemcall
        17
    systemcall  
       2023-05-05 20:06:44 +08:00
    买个带端口镜像功能的交换机,在几个节点上面开镜像,镜像端口接 PC ,千兆网口不够就上万兆
    要求不高的话,clash meta 可以嗅探协议和 SNI ,也许可以抓出来一般的矿池
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3348 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:30 · PVG 19:30 · LAX 03:30 · JFK 06:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.