在交换机上查找
由于我们单位的IP地址与MAC地址绑定、MAC地址与端口绑定,因此发送数据的计算机一定是属于合法的用户,一种情况是用户在使用黑客工具攻击其他人,为隐藏自己真实的IP地址而不断变换IP地址。另一种情况是用户的计算机被病毒感染,病毒自动对外发送大量数据包,并自动变化源IP地址。当务之急是迅速查出发出大量数据包的计算机真实IP地址。 考虑到防火墙的位置和功能,与防火墙技术人员沟通后,认为在防火墙上无法找到此机器的真实IP地址,因此在三层交换机Cisco 6509上查找。我查阅了一下资料,在Cisco 6509进行以下配置:access-list 101 permit ip any host 202.101.180.36 log-input
access-list 101 permit ip any any其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即对匹配此列表的数据,包括输出的端口做日志。 然后输入“sh log”命令,其结果如下。
Syslog logging: enabled (0 messages dropped,
8 messages rate-limited, 0 flushes,0 overruns)
Console logging: level debugging, 20239 messages logged
Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging,
20245 messages logged Exception Logging: size (4096 bytes)
Trap logging: level informational,
20269 message lines logged Log Buffer (8192 bytes):
01.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
关闭惹事计算机端口
从上面的输出结果可以清楚地观察到,产生虚假IP地址计算机的VLAN和MAC地址,通过我们自己的网管软件立即查找到此MAC地址的真实IP地址、用户姓名、部门、端 口号等信息。登录用户计算机所在的二层交换机,关掉此计算机使用的端口,防火墙上监控的连接数即刻恢复到正常状态。 与该用户联系后,确定是用户计算机感染了木马病毒。
本文来源:不详 作者:佚名