網管網絡安全知識之局域網如何抓住偽IP地址
.
點擊數: 日期:2013-06-04 09:27:30
.
防火牆的性能監控忽然出現問題,每天在2 000~5 000之間變動的連接數,今天持續在36 000個左右變動,由於情況異常立刻打開防火牆“實時監控”中的“連接信息”,發現有一個端口出現大量異常數據包。
其特點為:所有目的IP地址是同一個(202.101.180.36),但源IP地址在不停地變化,IP地址變化有明顯的規律性,並且不是我們單位的內部地址。pc141網絡安全知識()
根據經驗可以看出來源IP地址是由一個程序自動產生的,現在需要查出是哪台連網的計算機用偽造的IP地址瘋狂對外發送數據包。
在交換機上查找
由於我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定,因此發送數據的計算機一定是屬於合法的用戶,一種情況是用戶在使用黑客工具攻擊其他人,為隱藏自己真實的IP地址而不斷變換IP地址。
另一種情況是用戶的計算機被病毒感染,病毒自動對外發送大量數據包,並自動變化源IP地址。當務之急是迅速查出發出大量數據包的計算機真實IP地址。
考慮到防火牆的位置和功能,與防火牆技術人員溝通後,認為在防火牆上無法找到此機器的真實IP地址,因此在三層交換機Cisco 6509上查找。我查閱了一下資料,在Cisco 6509進行以下配置: