萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 防火牆失控:網管員如何抓住偽IP地址

防火牆失控:網管員如何抓住偽IP地址

某日,防火牆的性能監控忽然出現問題,每天在2 000~5 000之間變動的連接數,今天持續在36 000個左右變動。由於情況異常,我立刻打開防火牆“實時監控”中的“連接信息”,發現有一個端口出現大量異常數據包,其特點為:所有目的IP地址是同一個(202.101.180.36),但源IP地址在不停地變化,IP地址變化有明顯的規律性,並且不是我們單位的內部地址。 .

根據經驗可以看出,源IP地址是由一個程序自動產生的,現在需要查出是哪台連網的計算機用偽造的IP地址瘋狂對外發送數據包。 .

在交換機上查找

.

由於我們單位的IP地址與MAC地址綁定、MAC地址與端口綁定,因此發送數據的計算機一定是屬於合法的用戶,一種情況是用戶在使用黑客工具攻擊其他人,為隱藏自己真實的IP地址而不斷變換IP地址。另一種情況是用戶的計算機被病毒感染,病毒自動對外發送大量數據包,並自動變化源IP地址。當務之急是迅速查出發出大量數據包的計算機真實IP地址。 .

考慮到防火牆的位置和功能,與防火牆技術人員溝通後,認為在防火牆上無法找到此機器的真實IP地址,因此在三層交換機Cisco 6509上查找。我查閱了一下資料,在Cisco 6509進行以下配置: .

access-list 101 permit ip any host 202.101.180.36 log-input .

access-list 101 permit ip any any .

其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即對匹配此列表的數據,包括輸出的端口做日志。

.

然後輸入“sh log”命令,其結果如下。 .

Syslog logging: enabled (0 messages dropped, .

8 messages rate-limited, 0 flushes,0 overruns) .

Console logging: level debugging, 20239 messages logged

.

Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging,

.

20245 messages logged Exception Logging: size (4096 bytes) .

Trap logging: level informational, .

20269 message lines logged Log Buffer (8192 bytes): .

01.180.36(0), 1 packet .

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0)

.

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet .

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0) .

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet .

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0) .

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet .

16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0) .

(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet .

關閉惹事計算機端口

.

從上面的輸出結果可以清楚地觀察到,產生虛假IP地址計算機的VLAN和MAC地址,通過我們自己的網管軟件立即查找到此MAC地址的真實IP地址、用戶姓名、部門、端口號等信息。登錄用戶計算機所在的二層交換機,關掉此計算機使用的端口,防火牆上監控的連接數即刻恢復到正常狀態。

.

與該用戶聯系後,確定是用戶計算機感染了木馬病毒。 .

.

copyright © 萬盛學電腦網 all rights reserved