某日,防火墙的性能监控忽然出现问题,每天在2 000~5 000之间变动的连接数,今天持续在36 000个左右变动。由于情况异常,我立刻打开防火墙“实时监控”中的“连接信息”,发现有一个端口出现大量异常数据包,其特点为:所有目的IP地址是同一个(202.101.180.36),但源IP地址在不停地变化,IP地址变化有明显的规律性,并且不是我们单位的内部地址。
根据经验可以看出,源IP地址是由一个程序自动产生的,现在需要查出是哪台连网的计算机用伪造的IP地址疯狂对外发送数据包。
在交换机上查找
由于我们单位的IP地址与MAC地址绑定、MAC地址与端口绑定,因此发送数据的计算机一定是属于合法的用户,一种情况是用户在使用黑客工具攻击其他人,为隐藏自己真实的IP地址而不断变换IP地址。另一种情况是用户的计算机被病毒感染,病毒自动对外发送大量数据包,并自动变化源IP地址。当务之急是迅速查出发出大量数据包的计算机真实IP地址。
考虑到防火墙的位置和功能,与防火墙技术人员沟通后,认为在防火墙上无法找到此机器的真实IP地址,因此在三层交换机Cisco 6509上查找。我查阅了一下资料,在Cisco 6509进行以下配置:
access-list 101 permit ip any host 202.101.180.36 log-input
access-list 101 permit ip any any
其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即对匹配此列表的数据,包括输出的端口做日志。
然后输入“sh log”命令,其结果如下。
Syslog logging: enabled (0 messages dropped,
8 messages rate-limited, 0 flushes,0 overruns)
Console logging: level debugging, 20239 messages logged
Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging,
20245 messages logged Exception Logging: size (4096 bytes)
Trap logging: level informational,
20269 message lines logged Log Buffer (8192 bytes):
01.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0)
(Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet
关闭惹事计算机端口
从上面的输出结果可以清楚地观察到,产生虚假IP地址计算机的VLAN和MAC地址,通过我们自己的网管软件立即查找到此MAC地址的真实IP地址、用户姓名、部门、端口号等信息。登录用户计算机所在的二层交换机,关掉此计算机使用的端口,防火墙上监控的连接数即刻恢复到正常状态。
与该用户联系后,确定是用户计算机感染了木马病毒。
【编辑推荐】
怎么样才知道我和朋友是不是在同一VLAN?
就是PING 一下对方的IP 就可以了VLAN就是划分同网段下的子网不要看网段 当然如果网管的防火墙设置一些命令也是可以ping通的 最好的办法是找到做vlan服务器的router
急--攻击源mac
导致网络速度下降!首先arp攻击主要是引起局域网广播风暴: 在路由器下面。 还有一种情况基本上就无法找到真正的源头。 通常由于局域网是自适应IP地址(DHLC协议) 一旦某台主机离线一段时间后,但是只要不是用非法网络分析软件做这样的arp攻击都不会对局域网造成很大的影响,都可以消除安全隐患,一般都会对局域网进行arp攻击 只要能够成功对感染了的主机杀毒,占据网络带宽,而且只有在路由器端才可能检测到源。 arp攻击源可能也是伪装的,通过交换机进行扩展端口,360防火墙可以拦截到arp攻击包,而下面交换机连接的任何一台主机无法检测,网络上就会认为是arp攻击,甚至是本身网络的瘫痪造成的,只要路由器收到arp攻击,但是没有什么用,重新上网都会发生一次IP地址重复基本上,下面的交换机同样受到arp攻击,你看到的并不一定是真正的源头再有局域网的主机在感染普通的网络病毒后
本地连接受限制或无连接,可adsl上网不受影响
没有关系!放心使用吧!防火墙的缘故! 1、把防火墙关闭就不会有这种提示!不过不建议关闭防火墙!对你的使用没有任何影响 2、把本地连接属性里面的TCP/IP协议属性对话框打开,然后选手动配置IP,随便填入192.168.0.1之类的IP, 子网掩码输入255.255.255.0,点确定即可。 出现提示的原因是: SP2更多考虑了安全问题,你的IP设置为自动获取,其实是从DHCP服务器获取IP及相关参数,但是这个过 程可能由于某种原因,没有完成.在SP1时代,这种情况下,操作系统为了防止脱网(微软这么写的), 自作主张为网卡设置169.x.x.x的保留IP,不作任何错误提示,如果有多台计算机没有获得正确的IP,那 么他们通过保留地址还可以互相通讯。 但是安装SP2后,操作系统依据“安全”至上的原则,不分配任何 IP,切断网络连接,并报告错误“本地连接受限制或无连接”。 脑上的本地连接显示受限制或无连接是跟网络服务器和网卡有关的。 反正属于网络方面的问题,跟计算机 没多大关系,不影响系统,可以不用管他的。 如果实在烦,可以在“网络连接“的”本地连接“的设置里 把”无连接时通知我“的选项去掉.不影响上网 内网的话指定一个IP就好啦........ 你的网卡的TCP/IP协议,设置了自动获取IP地址,然而你的局域网中不存在可以让你的机器得到IP地址的 DHCP服务器。 所以你的IP地址没有获取到,当然是受限制或无连接。 解决方法是,为每个网卡设置一个IP地址,在xp上:开始-连接到-显示所有连接-选择那个受限制或无连 接的网卡,属性-在“此连接使用下列项目”框中选择TCP/IP协议,属性,使用下面IP地址,设置为和你 的路由器在同一网段的IP地址(如果你不知道,设置成192.168.1.2-200)就ok了(不要设置成192.168.1 .1,那有可能是你的路由器的IP地址)。 这个问题就解决了 解决方法1:方法是打开“控制面板”——“网络连接”,找到当前的本地连接,右击它,选“属性”, 在“常规”选项卡中双击“Internet协议 (TCP/IP)”,选择“使用下面的IP地址”,在“IP地址”中填 写“192.168.0.1”,在“子网掩码”中填写“255.255.255.0”,其他不用填写,然后点“确定”即可解 决该问题。 (如果当前计算机加入工作组或域,就要根据情况而设置) 解决方法2:可以在“网络连接“的”本地连接“的设置里把”无连接时通知我“的选项去掉就行了
发表评论