RDP 连接具有主机服务器的源 IP

RDP 连接具有主机服务器的源 IP

我在我的一台 Windows 服务器上遇到了一个事件,
计算机 ABC 成功从 192.168.0.16 传入 RDP 连接,但计算机 ABC 的 IP 是 192.168.0.16。
一台机器有可能通过 RDP 进入自身吗?有没有线索可以说明这种情况是如何发生的,或者是什么导致了这样的事件?

答案1

嗯,这绝对不是故意要做的事,因为它没有任何用处。唯一合理的原因是,如果你想隐藏你的远程网络地址,并通过该机器上运行的某种代理进行连接。

在你的情况下我会这样做:

  1. 安装 Sysinternals Sysmon 并将其配置为记录所有传出网络连接,即事件 ID 3。这将确保任何打开 TCP 连接的进程都将被记录。这显然不会追溯生效,但下次发生时会起作用。一般来说,我建议在所有对安全至关重要的机器上运行 Sysmon。

  2. 运行“netstat -ab -p TCP”并查看是否有任何可疑进程正在运行并监听传入连接。

  3. 确保在该机器上设置了正确的审核,以便可以调查活动。例如:https://system32.eventsentry.com/security/auditing_for_everyone

  4. 我还考虑激活和收集 NetFlow。否则,您不知道哪些数据进入和/或离开您的网络。如果您有 NetFlow 数据,您可以将网络流量与您提到的 RDP 事件关联起来。

我也会考虑安装第三方工具。事件哨兵与 Sysmon 集成,可以真正帮助报告,还可以显示正在监听网络连接的进程。如果您使用 NetFlow 功能,它还会标记可疑 IP。您可以直接下载试用版,无需购买(对于单个主机来说,它很便宜)。

我认为这应该会让你走上正确的道路......

相关内容