术语表

C2（命令与控制）是什么 — 入侵后攻击者远程操控终端的通信

C2（Command and Control／C&C）是被入侵的终端「回连」攻击者服务器、用于接收命令与外传数据的远程操控通道。它处于经由 RCE 等手段入侵「之后」的阶段。本文从防御视角讲解检测的关键——可疑的定期通信（信标）与已知的恶意目的地，以及防御手段（出口控制·DNS 监控·IOC/IOA 比对），不涉及攻击的制作方法。

发布于 2026-06-11 更新于 2026-06-11 1 分钟阅读

「被入侵之后，攻击者是怎么操控终端的？」——那段通信就是 C2。本文讲解它的原理，以及察觉与防范的方法（不涉及攻击的制作方法与运用方式）。

在攻击流程中的位置

C2 不是「入侵本身」，而是在其之后到来的。

① 入侵（例如：RCE·钓鱼·恶意软件）

↓

② 终端向攻击者服务器「回调」（信标＝定期的存活确认）

↓

③ 接收命令·外传数据（远程操控）

入侵（入口）之后，终端会回连攻击者服务器（C2）。那里正是检测与阻断的机会。

这里重要的是，②的外向通信正是检测与阻断的机会。即便要 100% 防住入口（入侵）很难，也仍有在出口察觉并拦下的余地。

如何察觉（检测的线索）

线索	看什么
信标（定期通信）	以固定间隔发往同一目的地的规律性外向通信
陌生的目的地	可疑的域名/IP（与已知恶意目的地＝IOC 比对）
可疑的 DNS	向陌生域名的查询·异常增多的 DNS
意料之外的路径	在意料之外的端口/协议上的外向通信

如何防御

从源头上不让其入侵（地基）

打补丁（CVE 监控）·最小权限·MFA·不要把机密以明文形式存放。C2 处于「入侵之后」的阶段，因此入口越牢固，它的用武之地就越少。

收紧出口（egress）

把服务器或终端的外向通信限制为只允许必要的目的地与端口（egress 过滤）。即便被入侵，只要无法向外回连通信，C2 也就难以成立。

监控 DNS 与通信日志

让自己处于能够察觉可疑定期通信·陌生目的地·异常 DNS 的状态（→ IOA＝靠行为察觉）。

比对并拦截已知的恶意目的地

把威胁情报分发的已知 C2 目的地（IOC）与自己的通信日志和防火墙加以比对并拦截。

本站的视角：不仅守入口、还要守『出口』。确认 C2『不存在』也是调查的一部分

C2 这一思路带来的最大启示是：防守不只在入口（入侵）。即便完全防止入侵很难，也仍留有收紧出口（外向通信）、察觉可疑回调的余地。本站在把「让其无法入侵的设计（打补丁·最小权限·MFA）」作为首选的同时，建议把出口控制与通信监控作为「最后的防线」一并具备。此外，在怀疑发生入侵时的调查中，确认「不存在常驻的 C2（后门或非法的定期通信）」也是重要的一环——要得出「实际危害有限」的结论，对出口一侧的确认不可或缺。

接下来阅读

术语：RCE 是什么 / IOC（入侵指标）是什么 / IOA（攻击指标）是什么 / 勒索软件是什么

FAQ

QC2（命令与控制）是什么？

它是被入侵的终端（感染了恶意软件、或被漏洞攻陷的 PC 或服务器）「回连」攻击者准备好的服务器，从那里接收命令、或把窃取的数据外传出去的远程操控通道。放到攻击的流程里看，它处于入侵（例如 RCE）成功「之后」、攻击者用来持续操控终端的环节。

Q如何察觉 C2？

关键是「外向的通信」。被感染的终端常常会以固定的间隔向攻击者服务器发送「存活确认」通信（信标）。与平常不同的、向某个目的地发出的规律性定期通信，向陌生域名发起的 DNS 查询，以及意料之外的端口/协议上的外向通信等，都是线索。这些既可以用痕迹（IOC）捕捉，也可以用行为（IOA）捕捉。

Q防御 C2 的基本做法是什么？

①从源头上不让其入侵（打补丁·最小权限·MFA），②收紧出口（外向通信）的「egress 过滤」，③监控 DNS 与通信日志，以察觉可疑的定期通信或目的地，④比对威胁情报提供的已知 C2 目的地（IOC）并加以拦截，这些就是基本做法。重要的思路是：入侵不仅能在「入口」拦下，也能在「出口」拦下。