前置信息：1 、被攻击者，我们假设为电脑 A,IP 地址为 192.168.1.1 ，是员工个人电脑2 、攻击者，我们假设为电脑 B ，IP 地址为 192.168.1.23 、A 和 B 在同一网段事件详情如下：A 电脑上安装的火绒安全提示在被 B 进行 SMB 扫描爆破攻击，根据火绒的安全防护日志显示，本次共计共持续了 2 到 3 天，每次攻击的开始时间都是在下班后，攻击停止时间就是在上班时间开始的时候。排查：1 、经过网管排查，B 的 IP 实际已经至少 300 多天没使用过了，这个 IP 并没有实际使用人；2 、通过 A 电脑的 arp -a 命令，可以获取到 B 的 IP 地址与 MAC 地址；3 、A 使用的是网线连接电脑；4 、A 的使用者并未私接网关、路由器等网络分接设备；公司网络环境与安全软件：1 、每台电脑有安装加密软件，该软件会自动搜集电脑的 IP 地址与 MAC 至后台；2 、公司内网段并没有做严格的分段处理；3 、没有态势感知、edr 、蜜罐等安全设备；4 、小公司，不大求助各位大佬，还能如何排查，如何找到这个攻击源？

考虑一下，是不是一些媒体软件闲时在扫可以共享的目录

交换器上根据 mac 查端口

在 A 电脑关闭了一个叫打印机什么的服务后，攻击行为就彻底停了

嗯嗯好

为什么我感觉好像有人不想让你加班的感觉。一下班就攻击，一上班就不攻击了？
操作系统、杀毒软件都想到了，就是没想到网络设备是可以管理的

＃3 是不是扫描的 161 端口, 很多打印机的驱动会扫描这个

最好重新划一下子网，不然真容易就被一锅端了。排查攻击源的话得看对面是怎么扫的，如果是脚本小子的话，用 wireshark 仔细检查一下总能抓到线索。如果是一些隐蔽的扫描的话，想溯源还是比较难的

我一猜就是你 A 电脑开了打印机共享.

不是，是 445 端口

他确实开了个打印机的共享服务，用来给打印机直接传输 PDF 什么的

说来惭愧，主要是网络设备不在我这边管理，而网管也上网络设备查过，没查出什么东西……

前天去问，他说把打印机共享服务关闭后就没攻击行为了……

这是想让我狠狠加班，狠狠地应急，很可恶啊

跟最近发现的 cups 漏洞有没有关系：CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177

wireshark 抓包，trace 以下 route ，看样子是内网，那么路由路径很容易排查，在最后一台路由器看路由表吧

445 明显是 windows...

看了下漏洞详情，应该没关系

好，我试试

查交换机 arp 表，看接到哪个端口上。一路查过去。必要时可以采用 ping+拔网线大法