監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

網(wǎng)管員經(jīng)驗如何抓住偽IP地址

申請免費試用、咨詢電話:400-8352-114

某日,防火墻的性能監(jiān)控忽然出現(xiàn)問題,每天在2 000~5 000之間變動的連接數(shù),今天持續(xù)在36 000個左右變動。由于情況異常,我立刻打開防火墻“實時監(jiān)控”中的“連接信息”,發(fā)現(xiàn)有一個端口出現(xiàn)大量異常數(shù)據(jù)包,其特點為:所有目的IP地址是同一個(202.101.180.36),但源IP地址在不停地變化,IP地址變化有明顯的規(guī)律性,并且不是我們單位的內(nèi)部地址。

  根據(jù)經(jīng)驗可以看出,源IP地址是由一個程序自動產(chǎn)生的,現(xiàn)在需要查出是哪臺連網(wǎng)的計算機用偽造的IP地址瘋狂對外發(fā)送數(shù)據(jù)包。

  在交換機上查找

  由于我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定,因此發(fā)送數(shù)據(jù)的計算機一定是屬于合法的用戶,一種情況是用戶在使用黑客工具攻擊其他人,為隱藏自己真實的IP地址而不斷變換IP地址。另一種情況是用戶的計算機被病毒感染,病毒自動對外發(fā)送大量數(shù)據(jù)包,并自動變化源IP地址。當務之急是迅速查出發(fā)出大量數(shù)據(jù)包的計算機真實IP地址。

  考慮到防火墻的位置和功能,與防火墻技術(shù)人員溝通后,認為在防火墻上無法找到此機器的真實IP地址,因此在三層交換機Cisco 6509上查找。我查閱了一下資料,在Cisco 6509進行以下配置:

  access-list 101 permit ip any host 202.101.180.36 log-input

  access-list 101 permit ip any any

  其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即對匹配此列表的數(shù)據(jù),包括輸出的端口做日志。

  然后輸入“sh log”命令,其結(jié)果如下。

  Syslog logging: enabled (0 messages dropped,

  8 messages rate-limited, 0 flushes,0 overruns)

  Console logging: level debugging, 20239 messages logged

  Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging,

  20245 messages logged Exception Logging: size (4096 bytes)

  Trap logging: level informational,

  20269 message lines logged Log Buffer (8192 bytes):

  01.180.36(0), 1 packet

  16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0)

  (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

  16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0)

  (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

  16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0)

  (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

  16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0)

  (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

  關(guān)閉惹事計算機端口

  從上面的輸出結(jié)果可以清楚地觀察到,產(chǎn)生虛假IP地址計算機的VLAN和MAC地址,通過我們自己的網(wǎng)管軟件立即查找到此MAC地址的真實IP地址、用戶姓名、部門、端口號等信息。登錄用戶計算機所在的二層交換機,關(guān)掉此計算機使用的端口,防火墻上監(jiān)控的連接數(shù)即刻恢復到正常狀態(tài)。

  與該用戶聯(lián)系后,確定是用戶計算機感染了木馬病毒。

【推薦閱讀】

網(wǎng)管軟件專區(qū) 

網(wǎng)管員需要注意一些網(wǎng)絡安全管理策略

網(wǎng)管員基礎(chǔ)知識:如何設(shè)置員工上網(wǎng)權(quán)限

網(wǎng)管員經(jīng)驗 AOFAX傳真服務器的初始安裝技巧

IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng),僅供參考
發(fā)布:2007-04-16 09:43    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:

泛普泛普博客其他應用

泛普OA商務合同 泛普OA需求調(diào)研 泛普OA實施方案 泛普OA項目啟動 泛普網(wǎng)絡硬件配置 泛普OA部署安裝 泛普流程模板表單 OA系統(tǒng)二次開發(fā) 泛普常見問題解決 泛普OA操作手冊 泛普軟件項目驗收 泛普培訓推廣上線 泛普OA售后服務 泛普新聞 泛普期刊 泛普博客