自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

防火墻失控:網(wǎng)管員如何抓住偽IP地址

作者:佚名
安全
某日,防火墻的性能監(jiān)控忽然出現(xiàn)問題,每天在2 000~5 000之間變動(dòng)的連接數(shù),今天持續(xù)在36 000個(gè)左右變動(dòng)。由于情況異常,我立刻打開防火墻“實(shí)時(shí)監(jiān)控”中的“連接信息”,發(fā)現(xiàn)有一個(gè)端口出現(xiàn)大量異常數(shù)據(jù)包,其特點(diǎn)為:所有目的IP地址是同一個(gè)(202.101.180.36),但源IP地址在不停地變化,IP地址變化有明顯的規(guī)律性,并且不是我們單位的內(nèi)部地址。

某日,防火墻的性能監(jiān)控忽然出現(xiàn)問題,每天在2 000~5 000之間變動(dòng)的連接數(shù),今天持續(xù)在36 000個(gè)左右變動(dòng)。由于情況異常,我立刻打開防火墻“實(shí)時(shí)監(jiān)控”中的“連接信息”,發(fā)現(xiàn)有一個(gè)端口出現(xiàn)大量異常數(shù)據(jù)包,其特點(diǎn)為:所有目的IP地址是同一個(gè)(202.101.180.36),但源IP地址在不停地變化,IP地址變化有明顯的規(guī)律性,并且不是我們單位的內(nèi)部地址。

根據(jù)經(jīng)驗(yàn)可以看出,源IP地址是由一個(gè)程序自動(dòng)產(chǎn)生的,現(xiàn)在需要查出是哪臺(tái)連網(wǎng)的計(jì)算機(jī)用偽造的IP地址瘋狂對(duì)外發(fā)送數(shù)據(jù)包。

在交換機(jī)上查找

由于我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定,因此發(fā)送數(shù)據(jù)的計(jì)算機(jī)一定是屬于合法的用戶,一種情況是用戶在使用黑客工具攻擊其他人,為隱藏自己真實(shí)的IP地址而不斷變換IP地址。另一種情況是用戶的計(jì)算機(jī)被病毒感染,病毒自動(dòng)對(duì)外發(fā)送大量數(shù)據(jù)包,并自動(dòng)變化源IP地址。當(dāng)務(wù)之急是迅速查出發(fā)出大量數(shù)據(jù)包的計(jì)算機(jī)真實(shí)IP地址。

考慮到防火墻的位置和功能,與防火墻技術(shù)人員溝通后,認(rèn)為在防火墻上無法找到此機(jī)器的真實(shí)IP地址,因此在三層交換機(jī)Cisco 6509上查找。我查閱了一下資料,在Cisco 6509進(jìn)行以下配置:

access-list 101 permit ip any host 202.101.180.36 log-input

access-list 101 permit ip any any

其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即對(duì)匹配此列表的數(shù)據(jù),包括輸出的端口做日志。

然后輸入“sh log”命令,其結(jié)果如下。

Syslog logging: enabled (0 messages dropped,

8 messages rate-limited, 0 flushes,0 overruns)

Console logging: level debugging, 20239 messages logged

Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging,

20245 messages logged Exception Logging: size (4096 bytes)

Trap logging: level informational,

20269 message lines logged Log Buffer (8192 bytes):

01.180.36(0), 1 packet

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0)

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0)

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0)

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0)

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

關(guān)閉惹事計(jì)算機(jī)端口

從上面的輸出結(jié)果可以清楚地觀察到,產(chǎn)生虛假IP地址計(jì)算機(jī)的VLAN和MAC地址,通過我們自己的網(wǎng)管軟件立即查找到此MAC地址的真實(shí)IP地址、用戶姓名、部門、端口號(hào)等信息。登錄用戶計(jì)算機(jī)所在的二層交換機(jī),關(guān)掉此計(jì)算機(jī)使用的端口,防火墻上監(jiān)控的連接數(shù)即刻恢復(fù)到正常狀態(tài)。

與該用戶聯(lián)系后,確定是用戶計(jì)算機(jī)感染了木馬病毒。

 

【編輯推薦】

  1. TCP/IP網(wǎng)絡(luò)的信息安全與防火墻技術(shù)
  2. 失控的網(wǎng)絡(luò)深信服推出上網(wǎng)行為管理設(shè)備
責(zé)任編輯:Oo小孩兒 來源: cnw.com.cn
偽IP地址防火墻安全
相關(guān)推薦

2009-05-27 09:47:46

2016-01-24 23:12:00

UFW防火墻攔截IP地址

2013-01-30 10:27:38

2011-04-18 13:33:07

2018-05-04 08:18:34

2013-01-21 10:17:27

防火墻惡意IP

2012-03-12 11:21:12

虛擬防火墻虛擬化平臺(tái)虛擬機(jī)

2010-12-21 18:04:26

2010-09-16 12:50:36

2010-09-16 11:18:01

2018-07-02 09:18:11

Linuxiptables防火墻

2010-12-08 09:29:27

下一代防火墻

2010-09-14 13:08:52

2011-12-21 10:17:59

網(wǎng)管員趙正

2011-06-30 16:34:41

飛魚星路由器網(wǎng)管員

2013-05-27 13:45:06

網(wǎng)管技巧IP地址跟蹤

2011-12-07 13:36:53

ibmdw

2013-08-29 10:26:27

windows系統(tǒng)防火防火墻

2010-05-24 17:49:56

2011-06-27 13:31:21

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)