如何捕获局域网中的伪IP地址

有一天，性能监控防火墙的突然出现，并连接2000 ~波动，一天5000次的持续变化约36000之间的数。因特殊情况，我立即打开防火墙实时监控连接信息；发现一口大量异常数据包的出现，其特点是：所有的目标IP地址是一样的（202.101.180.36），但源IP地址不断变化，IP地址变化规律性明显，而不是我们单位的内部地址。

从经验可以看出，源IP地址是由程序自动生成的。现在有必要找出哪一台网络计算机疯狂地用假IP地址发送数据包。

开关上的查找

我们的IP地址和MAC地址绑定，MAC地址与端口绑定，所以计算机发送的数据必须属于合法用户，是一个黑客工具去攻击其他人的使用用户，隐藏IP地址和IP地址的变化。另一种情况是，用户的电脑通过病毒感染，自动到外面的世界，自动改变源IP地址发送大量的病毒数据包。当务之急是迅速找到一个计算机发送大量的数据包的IP地址。

考虑到防火墙的位置和功能，在与防火墙技术人员交流后，认为机器的真实IP地址在防火墙上是找不到的，所以在三级交换机Cisco 6509上找到了，我在Cisco 6509中查找了信息并进行了如下配置：

访问列表101允许任何IP主机202.101.180.36日志输入

访问列表101允许任何IP

在202.101.180.36是上述目的地址，登录输入日志对这项比赛，包括输入interface即，日志数据匹配的列表，包括输出端口。

然后输入SH log命令，结果如下。

系统日志：启用（0信息跌，

8消息速率有限，0刷新，0溢出）

控制台日志记录：级别调试，记录20239条消息

监视日志记录：级别调试，记录0条消息

缓冲日志记录：级别调试，记录20245条消息

异常日志：大小（4096字节）

陷阱日志：级别信息，

20269条消息线记录日志缓冲区（8192字节）：

01.180.36（0），1包

16w6d：% sec-6-ipaccesslogp：表101允许TCP 245.206.1.197（0）

（vlan101 5254。ab21。e77a），202.101.180.36（0），1包

16w6d：% sec-6-ipaccesslogp：表101允许TCP 245.206.1.198（0）

（vlan101 5254。ab21。e77a），202.101.180.36（0），1包

16w6d：% sec-6-ipaccesslogp：表101允许TCP 245.206.1.199（0）

（vlan101 5254。ab21。e77a），202.101.180.36（0），1包

16w6d：% sec-6-ipaccesslogp：表101允许TCP 245.206.1.200（0）

（vlan101 5254。ab21。e77a），202.101.180.36（0），1包

关闭计算机端口。

从上面的输出中，我们可以清楚地观察到VLAN的假IP地址的计算机的MAC地址，并找到真正的IP地址、用户名、部门，立即通过自己的网络管理软件的端口号等信息的MAC地址，登录到用户的计算机的两层交换和转关闭计算机使用的端口。防火墙上监视的连接数量立即恢复正常。

在与用户接触之后，确定用户的计算机已经感染了特洛伊木马病毒。