公司财务部突然打不开内网报销系统,IT同事排查了一圈,防火墙日志没异常,终端杀毒也干净——最后发现是研发测试环境里一台被黑的虚拟机,正悄悄把数据打包发往外网IP。这类问题,光靠边界防护根本拦不住。
为什么边界拦不住内部威胁
传统防火墙、WAF、IDS这些设备,主要盯着进出网络的流量。可一旦攻击者绕过边界(比如钓鱼邮件进来了,或者员工带了感染U盘),他们就在内网自由活动了。横向移动、权限提升、数据窃取……全程不碰外网,边界设备根本‘看不见’。
内部流量监控不是看热闹,是找异常
它盯的是内网设备之间‘说话’的方式:谁在连谁?连得勤不勤?传的是什么类型的数据?有没有突然大量上传?有没有访问平时从不碰的数据库端口?
举个例子:某台普通办公电脑,平时只访问OA和邮箱,某天凌晨3点开始高频连接HR系统的SQL Server端口(1433),且每次传输量都接近5MB——这大概率不是加班,是数据在被拖走。
怎么做?三类常见手段
1. 镜像流量分析:在核心交换机上配置端口镜像,把所有经过的流量复制一份给分析设备。轻量、不影响业务,但需要额外部署探针或SIEM系统来解析。
2. NetFlow/sFlow采集:路由器、交换机本身就能导出会话摘要(源/目的IP、端口、字节数、协议等)。省带宽,适合大规模网络,缺点是看不到具体内容。
3. 主机侧Agent采集:在关键服务器或终端装轻量代理,上报进程级网络行为。比如Windows用ETW,Linux用eBPF,能精确到哪个程序在连哪里。
一个真实配置片段(以Suricata检测内网SMB暴力破解为例)
alert tcp any any -> 192.168.10.0/24 445 (msg:"SMB brute force attempt"; flow:to_server,established; content:"|00 00 00 85|"; depth:4; offset:4; threshold:type limit, track by_src, ip 192.168.10.0/24, seconds 60, hits 5; sid:1000001; rev:1;)这段规则意思是:如果同一内网IP在60秒内对任意SMB服务(445端口)发起5次以上失败连接,就告警。它不依赖外部攻击特征,只看内部行为节奏。
别迷信‘全量留存’
很多团队一上来就想存下所有原始包,结果硬盘爆了、查起来像大海捞针。更实际的做法是:高频元数据(NetFlow)长期存,可疑会话才抓原始包,关键服务器做深度DPI(深度包检测),普通终端只记连接关系。就像小区保安,不会录像每一辆自行车,但对深夜反复绕行车库的电动车一定会多盯两眼。
内部流量监控不是加一道新墙,而是让整个内网自己‘开口说话’。当设备知道彼此怎么通信、多久通信一次、通信内容是否合理,攻击者再难藏身于沉默的流量之中。