RDP 连接具有主机服务器的源 IP

Question

嗯，这绝对不是故意要做的事，因为它没有任何用处。唯一合理的原因是，如果你想隐藏你的远程网络地址，并通过该机器上运行的某种代理进行连接。

在你的情况下我会这样做：

安装 Sysinternals Sysmon 并将其配置为记录所有传出网络连接，即事件 ID 3。这将确保任何打开 TCP 连接的进程都将被记录。这显然不会追溯生效，但下次发生时会起作用。一般来说，我建议在所有对安全至关重要的机器上运行 Sysmon。
运行“netstat -ab -p TCP”并查看是否有任何可疑进程正在运行并监听传入连接。
确保在该机器上设置了正确的审核，以便可以调查活动。例如：https://system32.eventsentry.com/security/auditing_for_everyone。
我还考虑激活和收集 NetFlow。否则，您不知道哪些数据进入和/或离开您的网络。如果您有 NetFlow 数据，您可以将网络流量与您提到的 RDP 事件关联起来。

我也会考虑安装第三方工具。事件哨兵与 Sysmon 集成，可以真正帮助报告，还可以显示正在监听网络连接的进程。如果您使用 NetFlow 功能，它还会标记可疑 IP。您可以直接下载试用版，无需购买（对于单个主机来说，它很便宜）。

我认为这应该会让你走上正确的道路......

Answer 1

嗯，这绝对不是故意要做的事，因为它没有任何用处。唯一合理的原因是，如果你想隐藏你的远程网络地址，并通过该机器上运行的某种代理进行连接。

在你的情况下我会这样做：

安装 Sysinternals Sysmon 并将其配置为记录所有传出网络连接，即事件 ID 3。这将确保任何打开 TCP 连接的进程都将被记录。这显然不会追溯生效，但下次发生时会起作用。一般来说，我建议在所有对安全至关重要的机器上运行 Sysmon。
运行“netstat -ab -p TCP”并查看是否有任何可疑进程正在运行并监听传入连接。
确保在该机器上设置了正确的审核，以便可以调查活动。例如：https://system32.eventsentry.com/security/auditing_for_everyone。
我还考虑激活和收集 NetFlow。否则，您不知道哪些数据进入和/或离开您的网络。如果您有 NetFlow 数据，您可以将网络流量与您提到的 RDP 事件关联起来。

我也会考虑安装第三方工具。事件哨兵与 Sysmon 集成，可以真正帮助报告，还可以显示正在监听网络连接的进程。如果您使用 NetFlow 功能，它还会标记可疑 IP。您可以直接下载试用版，无需购买（对于单个主机来说，它很便宜）。

我认为这应该会让你走上正确的道路......

相关内容