做内网安全运维、红蓝对抗或是护网应急,横向移动永远是绕不开的核心攻防场景。绝大多数企业边界防火墙、WAF设备防护都做得很完善,外网直接攻破核心系统的概率极低。攻击者真正的突破套路,基本都是拿下一台普通办公终端作为跳板,在内网横向扩散、攀爬权限,最终拿下域控、业务服务器与数据库。
我经手过数十起内网入侵应急事件,绝大多数内网沦陷事故,都不是攻击手段有多高级,而是运维人员看不懂异常内网流量、不会精准溯源攻击轨迹、应急处置动作滞后,且内网长期存在无边界互通、凭证管控混乱、高危端口随意开放的基础漏洞。
这篇文章完全落地实战,不讲空泛理论。我会结合真实攻防案例、日常运维踩坑经验,完整拆解内网横向移动的流量研判技巧、日志溯源方法、分级阻断操作、全域加固方案。同时配套可直接复用的命令、策略配置、攻防流程图,看完就能直接用到日常运维、应急响应、红蓝对抗工作中。
一、内网横向移动真实攻击链路与高危渗透方式
想要做好检测和防御,首先要摸透攻击者的完整进攻链路。目前市面上所有自动化渗透工具、红队单兵打法,横向移动的执行逻辑高度统一。攻击者不会盲目扫描内网,每一步操作都有明确目的,整套链路环环相扣。
真实内网横向攻击完整流程:单点主机沦陷 → 内网存活探测与端口扫描 → 本机凭证抓取、权限梳理 → 依托协议/凭证跨机登录 → 内网权限扩散 → 核心资产控制 → 部署持久化后门、维持长期控制
日常运维中,95%的内网横向入侵,都来自四种高频渗透方式,各自的攻击特征和防御重点完全不同,需要区分对待。
1.1 高危协议直接渗透(红队最常用)
Windows原生内置的管理协议,是内网横向移动的主要载体。这类协议本身用于企业运维管理,合法流量多、攻击流量混杂,新手很难区分。主流攻击端口固定,分别是445、3389、135、5985/5986。
攻击者常利用SMB漏洞、RDP爆破、WMI远程命令执行、WinRM无密码登录等方式横向突破。其中SMBv1协议的永恒之蓝漏洞,至今仍是弱防护企业内网沦陷的头号原因。很多企业多年未关闭SMBv1,一台主机中毒,全网批量被拿下。
1.2 账号凭证无痕滥用(最难检测)
这是APT攻击、高级红队演练的核心打法,也是企业内网最大的安全盲区。攻击者不需要爆破密码、不需要利用漏洞,只需要抓取终端本地的NTLM Hash、Kerberos票据,就能通过PtH哈希传递、PtT票据传递、DCSync域数据同步等方式,用合法凭证完成无痕横向登录。
这类攻击全程无报错、无暴力破解记录、无畸形流量,常规安全设备几乎全部漏报,只能依靠流量逻辑异常、日志行为异常甄别。
1.3 内网漏洞批量扩散
内网终端、服务器系统版本统一、业务软件同质化严重,一旦某台主机存在可远程利用的高危漏洞,攻击者就能编写批量扫描脚本,短时间内完成全网同资产的渗透控制。这类攻击扩散速度极快,从单主机沦陷到全网被控,往往只需要几分钟。
1.4 隧道跳板隐蔽渗透
高阶攻击者会在跳板机搭建内网隧道,将攻击流量封装、伪装成普通业务流量,绕过流量审计、IDS检测。同时通过多层跳板跳转隐藏真实攻击源,溯源难度极高,多见于长期潜伏的APT入侵场景。
二、流量研判实战:从杂乱内网流量中抓出攻击行为
流量研判是内网防御的第一道防线,也是唯一能在攻击落地前预警的手段。日志是事后记录,流量是实时行为,只要能精准识别异常流量,就能在攻击者落地留后门之前截断攻击。
很多企业的流量监测完全失效,核心问题只有一个:只监控外网出口流量,完全忽略内网VLAN之间、网段之间的横向互通流量。内网主机默认互通,攻击者拿下跳板后可以自由横向移动,全程无监控、无告警。
2.1 全覆盖内网流量采集落地方式
想要做好流量研判,首先要搭建无死角的流量采集体系,三种落地方式适配不同企业规模,可直接照搬部署。
中小型企业优先采用核心交换机镜像模式,性价比最高、部署最简单。在核心、汇聚交换机配置双向端口镜像,覆盖办公区、业务区、数据库区、域控区所有VLAN,重点抓取跨网段、跨VLAN的访问流量。该模式属于旁路监听,不会影响业务转发性能,适合常态化运行。
中大型企业建议搭配旁路安全设备,部署IDS、流量审计平台或态势感知系统,7*24小时持续分析流量特征,自动匹配横向移动规则,生成结构化告警,替代人工盯屏。
应急排查场景下,直接在可疑网段核心节点用tcpdump、Wireshark实时抓包,定向分析单主机异常流量,快速定位攻击源,适配临时入侵排查场景。
2.2 三类核心异常流量特征+真实攻防案例
内网流量混杂着备份、巡检、心跳、运维流量,单纯靠设备告警误报率极高。我结合真实护网案例,总结出三类可以直接落地的研判标准,规避绝大多数误判。
2.2.1 内网批量扫描流量(横向前置行为)
所有横向攻击开始前,攻击者一定会做内网资产探测。去年某制造业护网期间,我们遇到过典型案例:一台办公电脑1分钟内向内网120余个IP的445、3389端口发起TCP握手,没有任何后续业务数据,伴随大量ICMP存活探测包。
这是最标准的攻击前置行为,主机已被植入扫描脚本,正在搜集内网可攻击资产。实战判定标准很简单:单终端1分钟内超过50次高危端口探测、批量扫描445/3389/5985端口、全网段ICMP扫描,直接判定为恶意攻击行为。正常业务巡检、设备心跳不会出现高密度、全网段探测特征。
2.2.2 高危协议异常访问流量(直接攻击行为)
这类流量是日常告警重点,需要结合业务场景判断。正常业务服务器之间会有固定的445数据同步、远程运维访问,但普通办公终端跨网段访问核心服务器高危端口、非工作时段高频重试连接、使用SMBv1协议通信,全部属于异常行为。
真实案例中,很多企业被入侵后,回看历史流量,都能看到办公终端凌晨时段批量连接服务器445端口的失败重试流量,只是运维人员没有重视,最终导致攻击者利用永恒之蓝漏洞批量渗透。
2.2.3 凭证滥用无痕流量(隐性攻击行为)
这是最容易被忽略的攻击方式。哈希传递、票据传递攻击的流量完全合规,没有畸形数据包、没有高频失败请求,单纯看流量形态完全看不出异常。
研判核心不在于流量本身,而在于访问逻辑。低权限办公终端使用域管理员账号登录核心服务器、陌生IP凌晨发起核心资产远程访问、无运维记录的跨主机凭证登录,全部是高危异常行为。这类行为必须结合IP归属、账号权限、访问时段三维判定。
2.3 标准化流量研判流程(避坑版)
不要看到告警就处置,很容易误杀正常业务。固定四步研判流程,能大幅提升准确率。
第一步先过滤误报,剔除监控巡检、堡垒机运维、数据备份、设备心跳等常态化行为;第二步关联源IP、目的IP、端口、时间、访问频次,梳理完整访问链路;第三步结合业务归属、主机权限、运维规范定性行为;最后锁定沦陷主机和攻击范围,为后续处置提供依据。
三、日志溯源实战:完整还原攻击链路与后门痕迹
流量只能证明“有攻击行为”,日志才能讲清“攻击干了什么”。想要完整复盘入侵事件、彻底清理后门、划定数据泄露范围,必须依托全维度日志溯源。这是应急响应的核心能力,也是很多运维人员的短板。
3.1 全覆盖溯源日志维度
溯源不能只看单台主机日志,必须多设备日志联动交叉验证。Windows安全日志负责记录主机登录、进程、任务创建行为;域控AD日志监控域账号、票据、组策略高危操作;网络设备日志还原跨网段跳转路径;EDR、堡垒机日志验证终端行为;系统运维日志排查持久化后门。五类日志缺一不可。
3.2 核心事件ID+可直接复用溯源命令
Windows日志冗余信息极多,实战中不需要逐行翻阅,只聚焦横向移动对应核心事件ID,搭配PowerShell命令可快速筛选攻击记录。
4624/4625对应账号登录成功与失败,用于排查暴力破解和异常登录;4688是进程创建记录,能完整留存攻击者执行的所有CMD、PowerShell命令;4776记录NTLM认证,专门排查哈希传递攻击;4769/4771监控Kerberos票据行为,对应票据传递攻击;5140记录共享访问,排查SMB横向渗透;4698监控计划任务创建,是排查持久化后门的关键。
下面两条命令可直接复制在域控或沦陷主机终端执行,快速筛选异常记录:
# 筛选24小时内所有账号登录记录Get-WinEvent-FilterHashtable @{LogName='Security';ID=4624}-MaxEvents 1000|Where-Object{$_.TimeCreated-gt(Get-Date).AddHours(-24)}|Format-TableTimeCreated,Message# 筛选所有远程进程创建执行记录Get-WinEvent-FilterHashtable @{LogName='Security';ID=4688}-MaxEvents 20003.3 全链路溯源标准步骤(实战复盘版)
溯源第一步永远是保全证据,绝对不要重启主机、清空日志。重启会丢失内存凭证、临时进程、内存级后门,导致溯源彻底中断。优先备份所有日志、抓取内存快照,固定攻击证据。
随后以首次流量告警时间为锚点,向前追溯入侵入口和初始沦陷时间,向后追踪所有横向跳转、权限操作、后门创建记录。逐台核查登录和进程日志,梳理出完整攻击链路,核查凭证泄露范围,排查计划任务、启动项、异常服务等持久化通道,最终统计所有被扫描、访问、控制的资产,明确风险边界。
四、分级应急阻断:快速遏制内网攻击扩散
应急处置切忌一刀切,也切忌拖延观望。根据沦陷范围划分三级阻断方案,既能快速控险,又不会影响正常业务运行。
4.1 一级阻断:单主机沦陷
单台终端或服务器异常、无跨机跳转时,直接对主机断网隔离,拔除网线或禁用网卡,阻断对内网的所有访问。禁用本机陌生账号、重置泄露密码,终止所有可疑远程会话,通过EDR全盘查杀木马、脚本、后门,清理异常计划任务和启动项。
4.2 二级阻断:网段级扩散
单网段多台主机被扫描、出现多次横向登录尝试时,在交换机、防火墙配置临时ACL策略,封禁攻击源IP。临时关闭网段内非必要的445、3389、5985、135高危端口,通过VLAN隔离将涉事网段与核心业务区、域控区隔离,回收泄露账号的域权限和远程运维权限,强制下线所有可疑会话。
4.3 三级阻断:全网大规模沦陷
多网段出现异常行为、疑似域控权限泄露时,立即收紧域管账号登录策略,仅允许白名单运维主机登录域管账号。全网临时禁用SMBv1协议,关闭非运维场景的WMI、WinRM远程执行权限,开启全网流量拦截,阻断所有批量扫描和非法跨网段访问,直至彻底清剿攻击源。
五、长效安全加固:从架构层面根治横向移动风险
临时阻断只能解决当下攻击,想要彻底杜绝横向入侵,必须修复内网底层架构缺陷、主机安全漏洞和权限管控漏洞。以下加固方案全部可直接落地,适配企业常态化运维。
5.1 网络层微隔离加固
内网横向移动的根本原因是内网无边界互通,单点沦陷即可全网扩散。按业务属性划分独立VLAN,区分办公区、业务区、数据库区、域控区,配置ACL策略默认拒绝跨VLAN互通,仅开放业务必需的IP和端口白名单。
全网统一禁用SMBv1协议,通过域组策略批量关闭终端默认共享、IPC共享。高危端口仅对堡垒机、运维白名单IP开放,杜绝全网无差别开放。
5.2 主机层基线加固
全网终端、服务器默认开启系统防火墙,收紧远程访问策略,默认拒绝所有外部远程连接。全域部署EDR终端防护,开启凭证抓取、进程注入、内网扫描、远程恶意执行行为的实时拦截。
建立月度漏洞修复机制,重点修补SMB、RDP、RPC等横向高频利用漏洞,精简主机开放端口,禁用无用服务和匿名访问权限,最小化主机攻击面。
5.3 域环境权限加固
严格执行权限最小化,域管理员账号仅用于域控运维,禁止在普通终端登录使用。全员开启Windows Credential Guard硬件级凭证防护,将高权限账号加入Protected Users组,禁用NTLM认证、限制票据缓存,从根源防御PtH、PtT无痕横向攻击。
强制全网账号使用高强度密码,定期轮换,清理闲置账号、共用账号。开启域控全量日志审计,实时监控AD批量查询、DCSync凭证窃取、组策略篡改等高风险行为。
5.4 运维与监测体系加固
所有远程运维统一通过堡垒机执行,关闭主机私设端口映射、私设运维通道,全程留存运维日志。搭建SIEM日志集中分析平台,汇总全网日志实现关联告警、溯源可视化。
固定每周安全巡检机制,核查异常登录、端口开放、账号权限、恶意进程,统一全网安全基线,杜绝个性化不安全配置。
六、攻防流程可视化(架构+流程图)
6.1 内网横向移动攻防闭环流程图
A[外网边界突破] --> B[单点主机沦陷]
B --> C[内网资产探测/凭证抓取]
C --> D[横向移动扩散]
D --> E[核心资产控制/留后门]
E --> F[流量实时研判告警]
F --> G[分级紧急阻断隔离]
G --> H[全量日志溯源复盘]
H --> I[漏洞/后门清理]
I --> J[全网安全加固]
J --> K[常态化巡检防护]
```
6.2 内网纵深防御架构图
subgraph 外网边界
FW[防火墙/WAF边界防护]
end
FW --> 办公区VLAN
FW --> 业务区VLAN
subgraph 内网分层架构
A1[办公终端网段]
A2[业务服务器网段]
A3[数据库核心网段]
A4[域控核心网段]
end
subgraph 安全监测层
IDS[流量审计/IDS旁路监测]
EDR[终端EDR防护]
SIEM[日志集中溯源分析]
end
subgraph 防御策略
P1[VLAN微隔离ACL策略]
P2[高危端口白名单管控]
P3[域凭证安全防护]
end
```
七、总结
内网横向移动防御没有复杂的玄学,核心就是三层能力:提前通过流量监测发现异常、依靠日志溯源查清全貌、用架构加固杜绝复发。绝大多数内网沦陷事故,都源于长期的内网无隔离、端口乱开放、凭证无管控、运维无规范。
流量研判解决攻击前置发现问题,日志溯源解决事后取证复盘问题,分级阻断解决风险扩散问题,全域加固解决长期安全兜底问题,四者组合形成完整的内网安全防御闭环,可适配日常运维、红蓝对抗、护网应急、APT排查所有场景。
互动提问
1、你所在企业内网是否还存在全网端口无差别开放、VLAN无隔离的问题?
2、日常运维中你遇到过最难溯源的无痕横向攻击是哪一类?可以在评论区交流排查思路。