Question

假设某台服务器因为有漏洞已经被攻陷，黑客一般会在机器上进行各种翻找，甚至进一步探测其他网络。

WebShell 通常为了方便都提供反弹 shell 的功能，即主动外连到特定端口，如果前面我们的防火墙在外连这块控制得不好，就容易出问题。针对这个隐患，我们建议在网络上针对主动出站的连接进行记录，与学习到的基线或者自行维护的黑白名单进行对比，以发现问题，我们把它称之为“异常流量检测系统”，在 DMZ 环境下只需关注主动外连的情况，相对简单。

在 DMZ 内网活动的时候，流量不一定会被镜像到，这时候我们需要借助蜜罐来发现异常。在每个 DMZ 网段内部署一到两个蜜罐，可以有效发现针对内网的扫描和探测行为。提到蜜罐，大家都熟知 honeyd，是一个非常优秀的开源蜜罐框架，支持模拟多个 IP 主机和任意的网络拓扑结构，还支持服务模拟脚本来模拟后端应用，如 IIS、Telnet、POP3 等。在实际环境中需要关注其可能带来的运行风险，例如，其 arpd 的组件使用类似 ARP 欺骗的方式牵引流量到密灌，在错误的运行方式下，如果同一网段任意存活主机在某时刻短暂掉线后，可能会被蜜罐程序的 ARP 包刷新网关上的 MAC 地址表，导致原 IP 无法正常访问。其实，蜜罐不一定要非常专业，在一些特定区域比如 DMZ 一些简单的基于端口访问的初级蜜罐也能发挥很大作用。