網(wǎng)管員經(jīng)驗(yàn)如何抓住偽IP地址

某日，防火墻的性能監(jiān)控忽然出現(xiàn)問(wèn)題，每天在2 000～5 000之間變動(dòng)的連接數(shù)，今天持續(xù)在36 000個(gè)左右變動(dòng)。由于情況異常，我立刻打開(kāi)防火墻“實(shí)時(shí)監(jiān)控”中的“連接信息”，發(fā)現(xiàn)有一個(gè)端口出現(xiàn)大量異常數(shù)據(jù)包，其特點(diǎn)為：所有目的IP地址是同一個(gè)(202.101.180.36)，但源IP地址在不停地變化，IP地址變化有明顯的規(guī)律性，并且不是我們單位的內(nèi)部地址。

　　根據(jù)經(jīng)驗(yàn)可以看出，源IP地址是由一個(gè)程序自動(dòng)產(chǎn)生的，現(xiàn)在需要查出是哪臺(tái)連網(wǎng)的計(jì)算機(jī)用偽造的IP地址瘋狂對(duì)外發(fā)送數(shù)據(jù)包。

　　在交換機(jī)上查找

　　由于我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定，因此發(fā)送數(shù)據(jù)的計(jì)算機(jī)一定是屬于合法的用戶(hù)，一種情況是用戶(hù)在使用黑客工具攻擊其他人，為隱藏自己真實(shí)的IP地址而不斷變換IP地址。另一種情況是用戶(hù)的計(jì)算機(jī)被病毒感染，病毒自動(dòng)對(duì)外發(fā)送大量數(shù)據(jù)包，并自動(dòng)變化源IP地址。當(dāng)務(wù)之急是迅速查出發(fā)出大量數(shù)據(jù)包的計(jì)算機(jī)真實(shí)IP地址。

　　考慮到防火墻的位置和功能，與防火墻技術(shù)人員溝通后，認(rèn)為在防火墻上無(wú)法找到此機(jī)器的真實(shí)IP地址，因此在三層交換機(jī)Cisco 6509上查找。我查閱了一下資料，在Cisco 6509進(jìn)行以下配置：

　　access-list 101 permit ip any host 202.101.180.36 log-input

　　access-list 101 permit ip any any

　　其中 202.101.180.36 是上面提到的目的地址，log-input的意思是“Log matches against this entry, including input interface”，即對(duì)匹配此列表的數(shù)據(jù)，包括輸出的端口做日志。

　　然后輸入“sh log”命令，其結(jié)果如下。

　　Syslog logging: enabled (0 messages dropped，

　　8 messages rate-limited， 0 flushes，0 overruns)

　　Console logging: level debugging, 20239 messages logged

　　Monitor logging: level debugging, 0 messages logged　Buffer logging: level debugging,

　　20245 messages logged　Exception Logging: size (4096 bytes)

　　Trap logging: level informational，

　　20269 message lines logged　Log Buffer (8192 bytes)：

　　01.180.36(0)， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.197 (0)

　　(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.198 (0)

　　(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.199 (0)

　　(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.200 (0)

　　(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

　　關(guān)閉惹事計(jì)算機(jī)端口

　　從上面的輸出結(jié)果可以清楚地觀察到，產(chǎn)生虛假I(mǎi)P地址計(jì)算機(jī)的VLAN和MAC地址，通過(guò)我們自己的網(wǎng)管軟件立即查找到此MAC地址的真實(shí)IP地址、用戶(hù)姓名、部門(mén)、端口號(hào)等信息。登錄用戶(hù)計(jì)算機(jī)所在的二層交換機(jī)，關(guān)掉此計(jì)算機(jī)使用的端口，防火墻上監(jiān)控的連接數(shù)即刻恢復(fù)到正常狀態(tài)。

　　與該用戶(hù)聯(lián)系后，確定是用戶(hù)計(jì)算機(jī)感染了木馬病毒。

【推薦閱讀】

◆網(wǎng)管軟件專(zhuān)區(qū) 

◆網(wǎng)管員需要注意一些網(wǎng)絡(luò)安全管理策略

◆網(wǎng)管員基礎(chǔ)知識(shí)：如何設(shè)置員工上網(wǎng)權(quán)限

◆網(wǎng)管員經(jīng)驗(yàn) AOFAX傳真服務(wù)器的初始安裝技巧

◆IT運(yùn)維管理專(zhuān)區(qū)