防火墙与本地IP通过internet联系本地IP

Question

我注意到了防火墙日志中的一些常见行为:在子网192.168.1.0/24中的计算机将端口161中的UDP数据包发送给子网192.168.20.0中的IP (我们没有这样的子网)，以及通过LAN到WAN策略的数据包。我已经在创建这个连接的计算机中安装了Sysmon，但是我不知道在其中查找什么。这里有人知道发生了什么事吗？如果我没有给出足够的信息我很抱歉。我不想给出太多的细节。

Answer 1

不给出更多的细节意味着你得到了一个全球性的答案。

161是SNMP。不是陷阱SNMP。任何执行意外SNMP的操作都应该受到调查。进程可以用名称中的snmp调用。如果您(或所有者)不知道此系统为什么使用SNMP，则应断开它与网络的连接，并在其上运行最新的病毒扫描。

我不知道你的网络设置，但是如果你的网络是192.168.1.0/24，子网之外的任何东西都会进入网关，这很可能是你的防火墙。所以你的防火墙会看到它。