| 以文本方式查看主题 - 咿思舞论坛 (http://bbs.145829.com/index.asp) -- 『基础知识』 (http://bbs.145829.com/list.asp?boardid=10) ---- 网管经验:如何抓住伪IP地址 (http://bbs.145829.com/dispbbs.asp?boardid=10&id=413) |
| -- 作者:admin -- 发布时间:2009/12/7 15:55:04 -- 网管经验:如何抓住伪IP地址 某日,防火墙的性能监控忽然出现问题,每天在2 000~5 000之间变动的连接数,今天持续在36 000个左右变动。由于情况异常,我立刻打开防火墙“实时监控”中的“连接信息”,发现有一个端口出现大量异常数据包,其特点为:所有目的IP地址是同一个(202.101.180.36),但源IP地址在不停地变化,IP地址变化有明显的规律性,并且不是我们单位的内部地址。 根据经验可以看出,源IP地址是由一个程序自动产生的,现在需要查出是哪台连网的计算机用伪造的IP地址疯狂对外发送数据包。 在交换机上查找 由于我们单位的IP地址与MAC地址绑定、MAC地址与端口绑定,因此发送数据的计算机一定是属于合法的用户,一种情况是用户在使用黑客工具攻击其他人,为隐藏自己真实的IP地址而不断变换IP地址。另一种情况是用户的计算机被病毒感染,病毒自动对外发送大量数据包,并自动变化源IP地址。当务之急是迅速查出发出大量数据包的计算机真实IP地址。 考虑到防火墙的位置和功能,与防火墙技术人员沟通后,认为在防火墙上无法找到此机器的真实IP地址,因此在三层交换机Cisco 6509上查找。我查阅了一下资料,在Cisco 6509进行以下配置: access-list 101 permit ip any host 202.101.180.36 log-input access-list 101 permit ip any any 其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即对匹配此列表的数据,包括输出的端口做日志。 然后输入“sh log”命令,其结果如下。 Syslog logging: enabled (0 messages dropped, 8 messages rate-limited, 0 flushes,0 overruns) Console logging: level debugging, 20239 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, |