局域網如何抓住偽IP地址

　　某日，防火牆的性能監控忽然出現問題，每天在2 000～5 000之間變動的連接數，今天持續在36 000個左右變動。由於情況異常，我立刻打開防火牆“實時監控”中的“連接信息”，發現有一個端口出現大量異常數據包，其特點為：所有目的IP地址是同一個（202.101.180.36），但源IP地址在不停地變化，IP地址變化有明顯的規律性，並且不是我們單位的內部地址。

　　根據經驗可以看出，源IP地址是由一個程序自動產生的，現在需要查出是哪台連網的計算機用偽造的IP地址瘋狂對外發送數據包。

　　在交換機上查找

　　由於我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定，因此發送數據的計算機一定是屬於合法的用戶，一種情況是用戶在使用黑客工具攻擊其他人，為隱藏自己真實的IP地址而不斷變換IP地址。另一種情況是用戶的計算機被病毒感染，病毒自動對外發送大量數據包，並自動變化源IP地址。當務之急是迅速查出發出大量數據包的計算機真實IP地址。

　　考慮到防火牆的位置和功能，與防火牆技術人員溝通後，認為在防火牆上無法找到此機器的真實IP地址，因此在三層交換機Cisco 6509上查找。我查閱了一下資料，在Cisco 6509進行以下配置：

　　access-list 101 permit ip any host 202.101.180.36 log-input

　　access-list 101 permit ip any any

　　其中 202.101.180.36 是上面提到的目的地址，log-input的意思是“Log matches against this entry, including input interface”，即對匹配此列表的數據，包括輸出的端口做日志。

　　然後輸入“sh log”命令，其結果如下。

　　Syslog logging: enabled （0 messages dropped，

　　8 messages rate-limited， 0 flushes，0 overruns）　

　　Console logging: level debugging, 20239 messages logged　

　　Monitor logging: level debugging, 0 messages logged　

　　Buffer logging: level debugging, 20245 messages logged　

　　Exception Logging: size （4096 bytes）　

　　Trap logging: level informational，

　　20269 message lines logged　Log Buffer （8192 bytes）：

　　01.180.36（0）， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.197 （0）

　　（Vlan101 5254.ab21.e77a） -> 202.101.180.36（0）， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.198 （0）

　　（Vlan101 5254.ab21.e77a） -> 202.101.180.36（0）， 1 packet

　　16w6d： %SEC-6-IPACCESSLOGP： list 101 permitted tcp 245.206.1.199 （0）