防火牆失控網管員如何抓住偽IP位址

某日，防火牆的效能監控忽然出現問題，每天在2 000～5 000之間變動的連線數，今天持續在36 000個左右變動。由於情況異常，我立刻開啟防火牆「實時監控」中的「連線資訊」，發現有乙個埠出現大量異常資料報，其特點為：所有目的ip位址是同乙個(202.101.180.36)，但源ip位址在不停地變化，ip位址變化有明顯的規律性，並且不是我們單位的內部位址。

根據經驗可以看出，源ip位址是由乙個程式自動產生的，現在需要查出是哪台連網的計算機用偽造的ip位址瘋狂對外傳送資料報。

在交換機上查詢

由於我們單位的ip位址與mac位址繫結、mac位址與埠繫結，因此傳送資料的計算機一定是屬於合法的使用者，一種情況是使用者在使用黑客工具攻擊其他人，為隱藏自己真實的ip位址而不斷變換ip位址。另一種情況是使用者的計算機被病毒感染，病毒自動對外傳送大量資料報，並自動變化源ip位址。當務之急是迅速查出發出大量資料報的計算機真實ip位址。

考慮到防火牆的位置和功能，與防火牆技術人員溝通後，認為在防火牆上無法找到此機器的真實ip位址，因此在三層交換機cisco 6509上查詢。我查閱了一下資料，在cisco 6509進行以下配置：

access-list 101 permit ip any host 202.101.180.36 log-input

access-list 101 permit ip any any

其中 202.101.180.36 是上面提到的目的位址，log-input的意思是「log matches against this entry, including input inte***ce」，即對匹配此列表的資料，包括輸出的埠做日誌。

然後輸入「sh log」命令，其結果如下。

syslog logging: enabled (0 messages dropped，

8 messages rate-limited， 0 flushes，0 overruns)

console logging: level debugging, 20239 messages logged

monitor logging: level debugging, 0 messages logged　buffer logging: level debugging,

20245 messages logged　exception logging: size (4096 bytes)

trap logging: level informational，

20269 message lines logged　log buffer (8192 bytes)：

01.180.36(0)， 1 packet

16w6d： %sec-6-ipaccesslogp： list 101 permitted tcp 245.206.1.197 (0)

(vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

16w6d： %sec-6-ipaccesslogp： list 101 permitted tcp 245.206.1.198 (0)

(vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

16w6d： %sec-6-ipaccesslogp： list 101 permitted tcp 245.206.1.199 (0)

(vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

16w6d： %sec-6-ipaccesslogp： list 101 permitted tcp 245.206.1.200 (0)

(vlan101 5254.ab21.e77a) -> 202.101.180.36(0)， 1 packet

關閉惹事計算機埠

從上面的輸出結果可以清楚地觀察到，產生虛假ip位址計算機的vlan和mac位址，通過我們自己的網管軟體立即查詢到此mac位址的真實ip位址、使用者姓名、部門、埠號等資訊。登入使用者計算機所在的二層交換機，關掉此計算機使用的埠，防火牆上監控的連線數即刻恢復到正常狀態。

與該使用者聯絡後，確定是使用者計算機感染了木馬病毒。

防火牆失控網管員如何抓住偽IP位址

防火牆如何設定

如何穿越防火牆NAT

ORACLE如何穿越防火牆

防火牆失控 網管員如何抓住偽IP位址

防火牆如何設定

如何穿越防火牆NAT

ORACLE如何穿越防火牆

相關推薦

防火牆失控網管員如何抓住偽IP位址