有一天,
性能监控防火墙的突然出现,并
连接2000 ~波动,一天5000次的持续变化约36000之间的数。因特殊
情况,我立即打开防火墙实时监控连接信息;
发现一口大量异常数据包的出现,其特点是:所有的
目标IP
地址是一样的(202.101.180.36),但源IP地址不断变化,IP地址变化规律性明显,而不是我们单位的内部地址。
从经验可以看出,源IP地址是由
程序自动生成的。现在有必要找出哪一台
网络计算机疯狂地用假IP地址发送数据包。
开关上的查找
我们的IP地址和MAC地址绑定,MAC地址与端口绑定,所以计算机发送的数据必须属于合法
用户,是一个黑客
工具去攻击其他人的使用用户,隐藏IP地址和IP地址的变化。另一种情况是,用户的
电脑通过
病毒感染,自动到外面的世界,自动改变源IP地址发送大量的病毒数据包。当务之急是迅速找到一个计算机发送大量的数据包的IP地址。
考虑到防火墙的
位置和
功能,在与防火墙技术人员交流后,认为机器的真实IP地址在防火墙上是找不到的,所以在三级交换机Cisco 6509上找到了,我在Cisco 6509中查找了信息并进行了如下
配置:
访问列表101允许任何IP主机202.101.180.36日志
输入 访问列表101允许任何IP
在202.101.180.36是上述目的地址,
登录输入日志对这项比赛,包括输入interface即,日志数据匹配的列表,包括输出端口。
然后输入SH log
命令,结果如下。
系统日志:
启用(0信息跌,
8
消息速率有限,0刷新,0溢出)
控制台日志记录:级别调试,记录20239条消息
监视日志记录:级别调试,记录0条消息
缓冲日志记录:级别调试,记录20245条消息
异常日志:大小(4096字节)
陷阱日志:级别信息,
20269条消息线记录日志缓冲区(8192字节):
01.180.36(0),1包
16w6d:% sec-6-ipaccesslogp:表101允许TCP 245.206.1.197(0)
(vlan101 5254。ab21。e77a),202.101.180.36(0),1包
16w6d:% sec-6-ipaccesslogp:表101允许TCP 245.206.1.198(0)
(vlan101 5254。ab21。e77a),202.101.180.36(0),1包
16w6d:% sec-6-ipaccesslogp:表101允许TCP 245.206.1.199(0)
(vlan101 5254。ab21。e77a),202.101.180.36(0),1包
16w6d:% sec-6-ipaccesslogp:表101允许TCP 245.206.1.200(0)
(vlan101 5254。ab21。e77a),202.101.180.36(0),1包
关闭计算机端口。
从上面的输出中,我们可以清楚地观察到VLAN的假IP地址的计算机的MAC地址,并找到真正的IP地址、
用户名、部门,立即通过自己的网络
管理软件的端口号等信息的MAC地址,登录到用户的计算机的两层交换和转关闭计算机使用的端口。防火墙上监视的连接数量立即
恢复正常。
在与用户接触之后,确定用户的计算机已经感染了特洛伊木马病毒。