名詞解釋

C2（命令與控制）是什麼 — 入侵後攻擊者遠端操控終端的通訊

C2（Command and Control／C&C）是被入侵的終端「回連」攻擊者伺服器、用於接收命令與外傳資料的遠端操控通道。它處於經由 RCE 等手段入侵「之後」的階段。本文從防禦視角講解偵測的關鍵——可疑的定期通訊（信標）與已知的惡意目的地，以及防禦手段（出口控制·DNS 監控·IOC/IOA 比對），不涉及攻擊的製作方法。

發布於 2026-06-11 更新於 2026-06-11 閱讀時間 1 分鐘

「被入侵之後，攻擊者是怎麼操控終端的？」——那段通訊就是 C2。本文講解它的原理，以及察覺與防範的方法（不涉及攻擊的製作方法與運用方式）。

在攻擊流程中的位置

C2 不是「入侵本身」，而是在其之後到來的。

① 入侵（例如：RCE·釣魚·惡意軟體）

↓

② 終端向攻擊者伺服器「回呼」（信標＝定期的存活確認）

↓

③ 接收命令·外傳資料（遠端操控）

入侵（入口）之後，終端會回連攻擊者伺服器（C2）。那裡正是偵測與阻斷的機會。

這裡重要的是，②的外向通訊正是偵測與阻斷的機會。即便要 100% 防住入口（入侵）很難，也仍有在出口察覺並攔下的餘地。

如何察覺（偵測的線索）

線索	看什麼
信標（定期通訊）	以固定間隔發往同一目的地的規律性外向通訊
陌生的目的地	可疑的網域/IP（與已知惡意目的地＝IOC 比對）
可疑的 DNS	向陌生網域的查詢·異常增多的 DNS
意料之外的路徑	在意料之外的連接埠/通訊協定上的外向通訊

如何防禦

從源頭上不讓其入侵（地基）

打修補程式（CVE 監控）·最小權限·MFA·不要把機密以明文形式存放。C2 處於「入侵之後」的階段，因此入口越牢固，它的用武之地就越少。

收緊出口（egress）

把伺服器或終端的外向通訊限制為只允許必要的目的地與連接埠（egress 過濾）。即便被入侵，只要無法向外回連通訊，C2 也就難以成立。

監控 DNS 與通訊紀錄

讓自己處於能夠察覺可疑定期通訊·陌生目的地·異常 DNS 的狀態（→ IOA＝靠行為察覺）。

比對並攔截已知的惡意目的地

把威脅情資散布的已知 C2 目的地（IOC）與自己的通訊紀錄和防火牆加以比對並攔截。

本站的視角：不僅守入口、還要守『出口』。確認 C2『不存在』也是調查的一部分

C2 這一思路帶來的最大啟示是：防守不只在入口（入侵）。即便完全防止入侵很難，也仍留有收緊出口（外向通訊）、察覺可疑回呼的餘地。本站在把「讓其無法入侵的設計（打修補程式·最小權限·MFA）」作為首選的同時，建議把出口控制與通訊監控作為「最後的防線」一併具備。此外，在懷疑發生入侵時的調查中，確認「不存在常駐的 C2（後門或非法的定期通訊）」也是重要的一環——要得出「實際危害有限」的結論，對出口一側的確認不可或缺。

接下來閱讀

術語：RCE 是什麼 / IOC（入侵指標）是什麼 / IOA（攻擊指標）是什麼 / 勒索軟體是什麼

FAQ

QC2（命令與控制）是什麼？

它是被入侵的終端（感染了惡意軟體、或被漏洞攻陷的 PC 或伺服器）「回連」攻擊者準備好的伺服器，從那裡接收命令、或把竊取的資料外傳出去的遠端操控通道。放到攻擊的流程裡看，它處於入侵（例如 RCE）成功「之後」、攻擊者用來持續操控終端的環節。

Q如何察覺 C2？

關鍵是「外向的通訊」。被感染的終端常常會以固定的間隔向攻擊者伺服器傳送「存活確認」通訊（信標）。與平常不同的、向某個目的地發出的規律性定期通訊，向陌生網域發起的 DNS 查詢，以及意料之外的連接埠/通訊協定上的外向通訊等，都是線索。這些既可以用痕跡（IOC）捕捉，也可以用行為（IOA）捕捉。

Q防禦 C2 的基本做法是什麼？

①從源頭上不讓其入侵（打修補程式·最小權限·MFA），②收緊出口（外向通訊）的「egress 過濾」，③監控 DNS 與通訊紀錄，以察覺可疑的定期通訊或目的地，④比對威脅情資提供的已知 C2 目的地（IOC）並加以攔截，這些就是基本做法。重要的思路是：入侵不僅能在「入口」攔下，也能在「出口」攔下。