V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ByteCat
V2EX  ›  信息安全

是否有开源或免费的上网行为分析系统?

  •  
  •   ByteCat · 2022-02-26 23:21:43 +08:00 · 10759 次点击
    这是一个创建于 1019 天前的主题,其中的信息可能已经有所发展或是发生改变。
    RT ,目前有这个需求,最近需要审查一下局域网内虚拟币挖矿的情况,因为场地是公用的。
    能否不上锐捷那种企业级的方案,直接有现成的系统可供使用?目前用 VM 跑着 爱快 和 OpenWrt 。
    第 1 条附言  ·  2022-02-27 11:48:35 +08:00

    感谢大家的留言,统一回复一下,有一点我没有说清楚就是,审查挖矿行为是因为 ISP 方面通知的,因为是公用办公场地,一旦被断网的话会造成很多麻烦;暂时 不用考虑电费和其他问题,也不需要非常高端的行为管控系统,只需要阻断相关的 域名、连接、协议 等

    昨天看到 深信服 的解决方案,看上去效果还是不错的,但是没有过多的财力和精力去弄这个;感谢 #7 的回复,目前打开了 爱快 内置的挖矿协议阻断

    • #3 提到的 Panabit 似乎好久没有更新了,不知道是否存在相关的特征库,还没有尝试。
    • #4 提到的 Zenarmor 看了一下似乎功能还是挺好的,但是需要 OPNsense,没有接触过,可能需要一些时间去了解。
    • 感谢 #12 为大家说明企业级的行为管控系统的运作,但是其实我的需求是比较简单的~
    29 条回复    2022-10-08 04:14:23 +08:00
    815979670
        1
    815979670  
       2022-02-26 23:49:32 +08:00
    应该没有把 挖矿是一个本地行为 靠上网行为能监控吗
    Akiio
        2
    Akiio  
       2022-02-26 23:58:42 +08:00
    简单一点可以试试 ntopng ,把里面的规则打开,或者复杂点搞流量镜像分析,当然就不止这个应用场景了
    MikuM97
        3
    MikuM97  
       2022-02-27 00:37:11 +08:00   ❤️ 1
    如果网络规模比较小,内网 IP 数小于 256 个,可以尝试下 panabit 的标准版,这个应该是最接近商用的行为管理,如果你的内网交换机支持流量镜像,还能做旁路审计。

    如果网络规模大,内网 IP 数大于 256 个,那就尝试搭建开源的方案吧,例如 ElatiscSearch+Kibana+Packetbeat ,虽然无法做控制,但是可以做流量审计,也许能发现一些端倪。
    tomczhen
        4
    tomczhen  
       2022-02-27 02:13:06 +08:00
    超过 256 ip 的话可以看看 Opnsense + Zenarmor 插件,免费版本有限制功能,但是 ip 数量看起来没限制。
    dlsflh
        5
    dlsflh  
       2022-02-27 02:14:50 +08:00 via Android
    很搞笑,一个开着热点的 4g 手机就完全绕过了你的方法。最靠谱的方法是用电量分析。
    dangyuluo
        6
    dangyuluo  
       2022-02-27 03:14:15 +08:00
    @dlsflh “哦昨天开了取暖器”
    diguoemo
        7
    diguoemo  
       2022-02-27 03:38:44 +08:00 via Android
    爱快能阻断虚拟货币挖矿协议,不过 ssl 的挖矿阻断不了
    duke807
        8
    duke807  
       2022-02-27 05:17:42 +08:00   ❤️ 1
    想到一個方法,用紅外熱成像,看誰的設備溫度最高
    Chad0000
        9
    Chad0000  
       2022-02-27 06:25:08 +08:00 via iPhone
    在家办公,来来来,让你挖
    singerll
        10
    singerll  
       2022-02-27 07:22:19 +08:00 via Android   ❤️ 1
    @dlsflh 很搞笑,楼主明明写了局域网几个大字,非要来杠
    documentzhangx66
        11
    documentzhangx66  
       2022-02-27 07:33:20 +08:00
    其实一个简单的二级网络 + 全局 VPN 代理,就可以轻松破解掉现在 所有 的行为分析,对,你没看错,我写的是所有。

    二级网络的意思是,需要安装认证软件的机器上,装两个网卡。连接公司网络的网卡为外网网卡,另一个内网网卡连接交换机,交换机再连接一台内网机器,需要做一位违规事情的应用,放在内网机器上,内网机器用 VPN 开全局代理。

    当然,这样做也是有弊端的:
    1.很多基于底层网络协议,以及 UDP 协议,可能会被行为分析大幅度降低性能,甚至会被阻断。只有 TCP 才能畅通无阻。

    2.内网机器的大部分性能可能会被用于 VPN 的加密解密。VPN 对端的机器也是如此。
    singerll
        12
    singerll  
       2022-02-27 08:22:14 +08:00 via Android
    @documentzhangx66 想多了根本破解不了,你这种方法只能破解一些管控并不严的企业,真正的管控向来都是技术+管理一起用的。
    首先从终端配发开始,技术部门统一定制化后配发,域控制,物理绑定、管控软件啥的给你安装的明明白白的,。
    做的严格的行为管控都有客户端,客户端干的第一件事就是把其他网口、蓝牙、usb 啥的全都禁掉。
    就算你想到办法加密流量,还有一部分行为管控软件是靠连续截屏分析的。。。
    别说你装个网卡了,拿 usb 给手机充个电要不了半天就来找你了。。。
    yumusb
        13
    yumusb  
       2022-02-27 13:19:35 +08:00
    suricata 上规则就行了。
    Metre
        14
    Metre  
       2022-02-27 13:36:52 +08:00
    suricata snort
    joesonw
        15
    joesonw  
       2022-02-27 17:33:06 +08:00 via iPhone
    共享办公类的吧?首先要客户端撞根证书的应该是要排除掉。
    人家只是 isp 警告管一管挖矿相关流量吧?你用 4g ,人家也懒得管你。
    qwerz
        16
    qwerz  
       2022-02-27 20:19:19 +08:00
    suricata 楼上已经有老哥提到了
    ppbaozi
        17
    ppbaozi  
       2022-02-27 20:35:41 +08:00
    把几大矿池的 dns 污染一下是最简单的
    MikuM97
        18
    MikuM97  
       2022-02-27 21:57:03 +08:00
    panabit 的特征库实际上一直有在积极的更新,安装玩基础镜像后打补丁包即可,参考: https://bbs.panabit.com/thread-23213-1-1.html
    最新更新的一个版本,就添加了“虚拟货币”的特征,可以尝试和爱快结合下
    xxb
        19
    xxb  
       2022-02-28 01:31:40 +08:00
    反过来问,如何避开楼主的审查?
    Zy143L
        20
    Zy143L  
       2022-02-28 01:33:52 +08:00 via Android
    去 minerpoolstats 上把矿池的域名拉一边
    别屏蔽 就审计 谁访问 谁倒霉
    cxy2244186975
        21
    cxy2244186975  
       2022-02-28 01:41:11 +08:00 via Android
    @xxb 都是信安人
    1nclude
        22
    1nclude  
       2022-02-28 10:10:09 +08:00
    suricata + ELK ,你得会写规则
    spacezip
        23
    spacezip  
       2022-02-28 10:10:26 +08:00
    @dlsflh 屏蔽器几百一个 能控制频段的稍微贵点 只给 2g 打电话
    Kasumi20
        24
    Kasumi20  
       2022-02-28 12:01:26 +08:00
    那么好封,v2ex 就没有人了。建议物理断网
    nilai
        25
    nilai  
       2022-02-28 14:27:46 +08:00
    我来说一下怎么绕过这种检测
    nilai
        26
    nilai  
       2022-02-28 14:28:31 +08:00
    1.开启 SSL 挖矿
    2.抢建知名矿池的中转节点
    jeffson
        27
    jeffson  
       2022-03-02 14:29:42 +08:00
    @nilai 666
    mikywei
        28
    mikywei  
       2022-03-06 12:51:17 +08:00
    一般上网行为管理不做这种功能,都会分在 IPS 、AV 、EDR 这种产品里面的,IPS 对应的开源软件有 suricata 和 snort ,安装好之后可以到网上找一些别人写好的规则,不过免费的等于没有维护,覆盖肯定不全面,而且 https 之类的加密协议是审计不到的更别说阻断,当然有些是有威胁情报啥的可以判断目标 ip 是不是挖矿服务器和矿池。
    spediacn
        29
    spediacn  
       2022-10-08 04:14:23 +08:00 via iPhone
    我倒是自己搜集了经常碰到的挖矿和勒索域名和 ip ,只是不知贴出来会不会触碰规则封号
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2708 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 00:34 · PVG 08:34 · LAX 16:34 · JFK 19:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.