阻擋內網電腦對外 SMB 連線異常流量 — DrayTek Vigor2925 實戰紀錄

Posted on by

問題背景

近期在公司網路中發現多台內部電腦持續對外發起 SMB(445 / 139 / NetBIOS)連線,這些連線目標為多個公網 IP。由於公司僅允許內部電腦連接至公司內部指定的 NAS 以使用 SMB,本次行為被視為異常,暗示存在惡意程式或系統誤行為。

除了安全風險外,這些大量的對外 SMB 嘗試也導致整體網路效能明顯下降。
公司員工反映多個網站載入速度變慢,甚至無法開啟部分頁面。
在檢查防火牆日誌後,確認異常的 outbound SMB 流量已佔用大量頻寬並造成負載平衡異常。

進一步調查與防毒處理

在發現異常後,對受影響的電腦進行了端點檢查與惡意程式掃描。使用 Kaspersky Virus Removal Tool(KVRT)進行多台電腦的離線或線上掃描與清除。掃描結果顯示多台機器有木馬或蠕蟲活動跡象,而部分惡意程式會利用 SMB 嘗試對外掃描或橫向感染。

對感染的主機執行 KVRT 清除後,防火牆日誌中可觀察到可辨識的可疑外連量減少,但仍以網路層面加強控制以防復發。

目標

  1. 阻斷內網指定範圍內電腦對 Internet 的 SMB(445、137–139)出站流量。
  2. 保留內網電腦對公司內部 NAS 的 SMB 存取權限。
  3. 不干擾 NAS 的既有業務需求(若 NAS 同時對外提供服務,需另行評估安全機制)。

網路環境概述

  • 路由器:DrayTek Vigor2925(雙 WAN,負載平衡啟用)

  • 內網電腦:公司內部某一子網段(表示為「受控子網」)

  • NAS:公司內部指定伺服器(表示為「受許可 NAS」)

  • 防火牆日誌:顯示來源為受控子網,多筆 outbound SMB 至多個公網 IP

    • *

問題分析

  1. 防火牆預設規則允許 LAN → WAN 流量,使得內部感染主機能直接向外連線。
  2. 日誌顯示大量對外 445/139 的連線嘗試與短時間內頻繁 SYN/ESTABLISHED 狀態,符合掃描或自動傳播行為。
  3. 單靠端點掃毒雖能清除已知惡意程式,但仍需在網路層建立有條件的封鎖,預防尚未偵測或變種的再度外掃。

解決方案(防火牆面)

以下示範以 DrayTek Vigor 的 Data Filter 設定為例(步驟為概念化描述,實際操作請對應你路由介面):

1. 建立 SMB 服務物件與群組

在路由器的 Service / Objects 設定中新增:

  • 服務 A:TCP/UDP port 445(SMB)
  • 服務 B:TCP/UDP port 137–139(NetBIOS) 然後建立服務群組(名稱如 SMB),把上述兩個服務加入群組。

2. 建立 Data Filter 規則(順序很重要)

在 Data Filter(或 Firewall Filter)中建立兩條規則,並確定「允許規則」在「封鎖規則」上方:

  • 允許規則(Allow NAS)
    • 方向:LAN → WAN
    • 來源:受控子網(只對需保留的電腦範圍)
    • 目的:受許可 NAS(內部 NAS 的 IP)
    • Service:SMB 群組
    • 動作:Pass Immediately
  • 封鎖規則(Block other SMB)
    • 方向:LAN → WAN
    • 來源:受控子網(同上)
    • 目的:Any(所有外部目標)
    • Service:SMB 群組
    • 動作:Block Immediately

註:若路由器支援 IPv6,請同時考慮 IPv6 流量的檢查與封鎖。

3. 啟用 Data Filter

在 Firewall General 或同類選項中啟用 Data Filter,並指定剛剛建立的 Filter Set 為啟動集。開啟嚴格安全選項(若有),並確認過濾套用於 IPv4/IPv6 的情況。

驗證方式

建議驗證項目(在安全環境下執行):

  • 檢查防火牆日誌(Syslog),確認封鎖規則被觸發,且公網 445 連線被阻擋。

  • 測試內部存取受許可 NAS 是否正常(以內部路徑或映射磁碟方式測試)。

  • 在受影響主機端使用 netstat -ano 檢查是否仍有可疑的 445 連線,以及確認對應的進程 PID,進一步比對該程序是否為合法應用。

    • *

補充建議(端點與長期防護)

  1. 端點掃毒:持續使用 KVRT 或其他企業級掃描工具進行全面掃描與根除病毒、漏洞利用程式。
  2. 雙層防護:在 Windows 防火牆或端點防護程式端也加入「阻擋出站 SMB」規則,形成備援。
  3. 最小權限原則:限制內部帳號權限,減少共享/網路傳播的攻擊面。
  4. 外部存取方案:若需要讓 NAS 對外提供服務,建議以 VPN、Reverse Proxy 或專用檔案分享方案替代直接對外開放 SMB。
  5. 定期稽核:設定定期檢查與日誌告警,若有大量外向 SMB 嘗試立即通知管理員。

結論

本案結合端點(KVRT 清除惡意程式)與網路層(DrayTek Data Filter)兩面向的防護策略,達成以下效果:

  • 有效封鎖內網主機對外的 SMB 掃描與傳播行為。
  • 保留內部對指定 NAS 的合法 SMB 存取。
  • 降低未來横向擴散與外洩風險。

這是企業在面對內網感染時一個較完整的實務流程:偵測 → 端點清除 → 網路層隔離與限制 → 持續監控與稽核。

Facebook 留言

Posted in 網路管理 and tagged .

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *