可能大家在看到一些安全设备的五元组告警信息时有些摸不着头脑,只看这些东西怎么能判断这个终端上有没有马子呢,所以只能上机排查了。
但是到机器上又该怎么查看是哪个进程触发了那个告警呢,这里主要介绍一下排查方法,比如设备给出了下面的告警信息
五元组信息
源IP | 源端口 | 目的IP | 目的端口 | 协议 |
---|---|---|---|---|
192.168.1.2 | 60619 | 111.111.111.111 | 39472 | http |
Windows 机器
- 找到对应内网IP的机器,这个需要公司有IT管理能力,可以定位机器到个人
- 在 192.168.1.2 这个机器上执行
netstat -ano | findstr "60619"
查看对应 http 协议的进程的PID,这里假设 PID=21068 - 需要的话可以使用
findstr /v "127.0.0.1" | findstr /i "established"
过滤掉机器本身的回环通信,便于分析,毕竟对其他机器的通信在本地通信一栏使用的都是局域网地址 - 执行
tasklist /fi 'PID eq 21068'
即可锁定对应的应用程序
Mac 机器
- 与 Windows 相比 Mac 就有些恶心了,因为不同版本的 Mac 相关命令的参数可能还不一样
- 由于财力问题,我这里只提供在我机器上验证通过的命令
lsof -i -P -n | grep '51049'