感谢大家的留言,统一回复一下,有一点我没有说清楚就是,审查挖矿行为是因为 ISP 方面通知的,因为是公用办公场地,一旦被断网的话会造成很多麻烦;暂时 不用考虑电费和其他问题,也不需要非常高端的行为管控系统,只需要阻断相关的 域名、连接、协议 等。
昨天看到 深信服 的解决方案,看上去效果还是不错的,但是没有过多的财力和精力去弄这个;感谢 #7 的回复,目前打开了 爱快 内置的挖矿协议阻断。
1
815979670 2022-02-26 23:49:32 +08:00
应该没有把 挖矿是一个本地行为 靠上网行为能监控吗
|
2
Akiio 2022-02-26 23:58:42 +08:00
简单一点可以试试 ntopng ,把里面的规则打开,或者复杂点搞流量镜像分析,当然就不止这个应用场景了
|
3
MikuM97 2022-02-27 00:37:11 +08:00 1
如果网络规模比较小,内网 IP 数小于 256 个,可以尝试下 panabit 的标准版,这个应该是最接近商用的行为管理,如果你的内网交换机支持流量镜像,还能做旁路审计。
如果网络规模大,内网 IP 数大于 256 个,那就尝试搭建开源的方案吧,例如 ElatiscSearch+Kibana+Packetbeat ,虽然无法做控制,但是可以做流量审计,也许能发现一些端倪。 |
4
tomczhen 2022-02-27 02:13:06 +08:00
超过 256 ip 的话可以看看 Opnsense + Zenarmor 插件,免费版本有限制功能,但是 ip 数量看起来没限制。
|
5
dlsflh 2022-02-27 02:14:50 +08:00 via Android
很搞笑,一个开着热点的 4g 手机就完全绕过了你的方法。最靠谱的方法是用电量分析。
|
7
diguoemo 2022-02-27 03:38:44 +08:00 via Android
爱快能阻断虚拟货币挖矿协议,不过 ssl 的挖矿阻断不了
|
8
duke807 2022-02-27 05:17:42 +08:00 1
想到一個方法,用紅外熱成像,看誰的設備溫度最高
|
9
Chad0000 2022-02-27 06:25:08 +08:00 via iPhone
在家办公,来来来,让你挖
|
11
documentzhangx66 2022-02-27 07:33:20 +08:00
其实一个简单的二级网络 + 全局 VPN 代理,就可以轻松破解掉现在 所有 的行为分析,对,你没看错,我写的是所有。
二级网络的意思是,需要安装认证软件的机器上,装两个网卡。连接公司网络的网卡为外网网卡,另一个内网网卡连接交换机,交换机再连接一台内网机器,需要做一位违规事情的应用,放在内网机器上,内网机器用 VPN 开全局代理。 当然,这样做也是有弊端的: 1.很多基于底层网络协议,以及 UDP 协议,可能会被行为分析大幅度降低性能,甚至会被阻断。只有 TCP 才能畅通无阻。 2.内网机器的大部分性能可能会被用于 VPN 的加密解密。VPN 对端的机器也是如此。 |
12
singerll 2022-02-27 08:22:14 +08:00 via Android
@documentzhangx66 想多了根本破解不了,你这种方法只能破解一些管控并不严的企业,真正的管控向来都是技术+管理一起用的。
首先从终端配发开始,技术部门统一定制化后配发,域控制,物理绑定、管控软件啥的给你安装的明明白白的,。 做的严格的行为管控都有客户端,客户端干的第一件事就是把其他网口、蓝牙、usb 啥的全都禁掉。 就算你想到办法加密流量,还有一部分行为管控软件是靠连续截屏分析的。。。 别说你装个网卡了,拿 usb 给手机充个电要不了半天就来找你了。。。 |
13
yumusb 2022-02-27 13:19:35 +08:00
suricata 上规则就行了。
|
14
Metre 2022-02-27 13:36:52 +08:00
suricata snort
|
15
joesonw 2022-02-27 17:33:06 +08:00 via iPhone
共享办公类的吧?首先要客户端撞根证书的应该是要排除掉。
人家只是 isp 警告管一管挖矿相关流量吧?你用 4g ,人家也懒得管你。 |
16
qwerz 2022-02-27 20:19:19 +08:00
suricata 楼上已经有老哥提到了
|
17
ppbaozi 2022-02-27 20:35:41 +08:00
把几大矿池的 dns 污染一下是最简单的
|
18
MikuM97 2022-02-27 21:57:03 +08:00
panabit 的特征库实际上一直有在积极的更新,安装玩基础镜像后打补丁包即可,参考: https://bbs.panabit.com/thread-23213-1-1.html
最新更新的一个版本,就添加了“虚拟货币”的特征,可以尝试和爱快结合下 |
19
xxb 2022-02-28 01:31:40 +08:00
反过来问,如何避开楼主的审查?
|
20
Zy143L 2022-02-28 01:33:52 +08:00 via Android
去 minerpoolstats 上把矿池的域名拉一边
别屏蔽 就审计 谁访问 谁倒霉 |
21
cxy2244186975 2022-02-28 01:41:11 +08:00 via Android
@xxb 都是信安人
|
22
1nclude 2022-02-28 10:10:09 +08:00
suricata + ELK ,你得会写规则
|
24
Kasumi20 2022-02-28 12:01:26 +08:00
那么好封,v2ex 就没有人了。建议物理断网
|
25
nilai 2022-02-28 14:27:46 +08:00
我来说一下怎么绕过这种检测
|
26
nilai 2022-02-28 14:28:31 +08:00
1.开启 SSL 挖矿
2.抢建知名矿池的中转节点 |
28
mikywei 2022-03-06 12:51:17 +08:00
一般上网行为管理不做这种功能,都会分在 IPS 、AV 、EDR 这种产品里面的,IPS 对应的开源软件有 suricata 和 snort ,安装好之后可以到网上找一些别人写好的规则,不过免费的等于没有维护,覆盖肯定不全面,而且 https 之类的加密协议是审计不到的更别说阻断,当然有些是有威胁情报啥的可以判断目标 ip 是不是挖矿服务器和矿池。
|
29
spediacn 2022-10-08 04:14:23 +08:00 via iPhone
我倒是自己搜集了经常碰到的挖矿和勒索域名和 ip ,只是不知贴出来会不会触碰规则封号
|