那么也就是说我们客户的内部网络，已经开始遭受到横向攻击了，这是横向，这是纵向，其实都是都是换一个方向的话，也可以把它理解成为横向，所以说我们统称为已经发起了横向攻击，也就是我们常说的内网渗透，好，并且还有什么？并且我们还发现在这么多的告警服务器里面，我们还发现10.1是为预控服务器，预控服务器下面是管着我们所有的家庭成员的，就好比这个是我们的预控服务器，然后这个是所有的其他的服务器，其他所有的服务器它是管控着所有的服务器的，像比如说像某东某里某多多呀，是不是成千上万个用户，他要去访问这些资源，它是需要有很多的服务器去支撑的，那么这个预控服务器也就是这个预控服务器，它是可以控制所有的服务器的，简单的来说，他就是家庭里面的老大，他就家庭的老大，最具有话语权的一个人，你已经控制了他，那么你就控制了他下面所有的人。

是这样子，那么这个就是发生告警的里面，我们还发现了10.1是域控服务器，所以说我们初步推断内网已经沦陷了，所以我们必须要上机排查。这个就是我们的一个设备告警图，我把这个图放大。好，这个就是我们的一个设备告警图。在某某年的5月10号的时候，这个是内网也就是1.50也就是受害者，受害者是在左边，攻击者是在右边，受害者是在左边，攻击者是在右边。

那么10.50这一个和攻击者这边是建立了一个连接，建立什么连接？是连接到了公网的ftp服务器，也就是我们刚才说的，他主动的去找攻击者聊聊天去了，当他们两个取得联系以后，攻击者就已经对他就其实是已经对我们的这个内网的10.50这位同志，已经开始干什么？已经进行了控制，那么攻击的是成功的。

好，再往下，我们在这个流量报警图上面还可以看到什么？好像也没有别的什么东西了，然后这个下面就是一个比较详细的一个图，那受害者在左边，攻击只能在右边，连接的时候是通过连接攻击者的12345端口进行连接了，所以说我们在上面这个图，也是可以看得到的，是不是12345这个端口去连接了，那么源IP也就是我们受害者的IP，是左边的这个1.50，那么目的IP也就是我们攻击者的95.95.1234345，那么什么是源IP？

什么是目的IP？因为当前的这个攻击告警是连接的攻击告警，也就是它从内网跑到外面去找别人沟通的这个告警，那么。源IP也就是受害者，那么目的IP就是他要去找到谁，去找到谁和谁沟通和谁聊天是吧？那这个就是我们的目的IP，我们的目的IP，下面是一些报文信息，那么这个就是我们通过从我们的设备上报警上面去得到的一些信息，这个就是我们为什么要去上级取证分析的一个原因。再往下我们就进入到了详细的取证环节，所有产生告警的，并且有可能被污染的被感染的主机，我们都会进行上级取证和分析和排查，那么接下来就进入到了我们的详细取证过程，这一个部分。