内网有员工跑京东云的pcdn，该怎么排查出来

要排查内网员工是否运行京东云PCDN，可参考以下步骤结合防火墙监控功能进行排查：

排查步骤：

1.    流量监控（核心手段）

异常上传流量：登录防火墙管理界面，检查各内网IP的上行流量。运行PCDN的设备会产生持续性高上传流量（远超普通办公流量）。重点关注：

display interface 查看接口实时速率。

display flow-statistics top source-ip 查看TOP流量源IP。

2.    会话与连接分析

异常会话特征：PCDN会维持大量并发连接且目标IP多为PCDN节点（可预先收集京东云PCDN的IP段）。

display session table source-ip <嫌疑IP> 查看连接数和目标IP。

若发现内网IP持续连接大量外部IP（尤其是云服务IP段），则高度可疑。

3.    应用识别与审计

开启应用审计策略：配置应用审计策略（参考手册4.5.2）：uapp-control policy name audit-pcdn audit rule 1 app Custom-Protocol action permit audit-logging # 自定义协议检测

日志分析：审计日志中若出现非办公应用（如P2P、CDN类协议）的频繁活动，需重点排查。

深度抓包分析

对嫌疑IP抓包解密（如TLS证书特征）：capture-packet interface <内网接口> ip host <嫌疑IP> save pcap # 存储抓包文件

分析流量内容是否包含京东云P2P或CDN特征（如特定域名、证书）。

4.    主动阻断验证

临时封禁嫌疑IP的互联网访问：blacklist ip <嫌疑IP> vpn-instance public

观察该IP对应设备是否报错（如PCDN客户端断连提示）。

注意事项

PCDN流量可能使用加密协议（如QUIC），传统DPI难度较大，需结合行为分析。

确认公司政策是否允许运行PCDN，避免误判。

使用防火墙原生安全策略（如应用审计、流量监控）优先，减少额外工具依赖。

通过以上组合手段，可高效定位运行PCDN的内网主机。确认后可通过行政手段或防火墙策略封禁其访问权限。