请选择语言    繁体中文 English 
 
   
网站首页 · 解决方案 · 产品介绍 · 下载中心 · 公司资讯 · 典型客户 · 最新客户 · 购买流程 · 联系我们
 聚生网管产品
 聚生网管系统简介
 聚生网管功能列表
 聚生网管功能截图
 聚生网管技术优势
 聚生网管与众不同
 网络特警产品
 网络特警背景简介
 网络特警核心理念
 网络特警核心优势
 网络特警独特架构
 网络特警功能列表
 网络特警服务体系
 与聚生网管之关系
 与同类产品之对比
 配套产品
 商用安全计算机
 共享文件监视器
 代理服务扫描器
 主机异常警报器
 混杂模式扫描器
 外来电脑隔离器
 远程开关机工具

 聚生网管服务热线
010-82825051
010-82825052
010-82825512
010-62961005
 
 
     新 闻 中 心
如何识别局域网内的伪IP地址
双击自动滚屏 发布时间:2009-9-2 14:59:04 【字体:
相关链接:聚生网管禁止迅雷下载、限制QQ游戏、封堵炒股、限制网速国内最强,使用最简单!点击这里了解更多!

某日,防火墙的性能监控忽然出现问题,每天在2 000~5 000之间变动的连接数,今天持续在36 000个左右变动。由于情况异常,我立刻打开防火墙“实时监控”中的“连接信息”,发现有一个端口出现大量异常数据包,其特点为:所有目的IP地址是同一个(202.101.180.36),但源IP地址在不停地变化,IP地址变化有明显的规律性,并且不是我们单位的内部地址。

根据经验可以看出,源IP地址是由一个程序自动产生的,现在需要查出是哪台连网的计算机用伪造的IP地址疯狂对外发送数据包。

在交换机上查找

由于我们单位的IP地址与MAC地址绑定、MAC地址与端口绑定,因此发送数据的计算机一定是属于合法的用户,一种情况是用户在使用黑客工具攻击其他人,为隐藏自己真实的IP地址而不断变换IP地址。另一种情况是用户的计算机被病毒感染,病毒自动对外发送大量数据包,并自动变化源IP地址。当务之急是迅速查出发出大量数据包的计算机真实IP地址。

考虑到防火墙的位置和功能,与防火墙技术人员沟通后,认为在防火墙上无法找到此机器的真实IP地址,因此在三层交换机Cisco 6509上查找。我查阅了一下资料,在Cisco 6509进行以下配置:

access-list 101 permit ip any host 202.101.180.36 log-inputaccess-list 101 permit ip any any

其中 202.101.180.36 是上面提到的目的地址,log-input的意思是“Log matches against this entry, including input interface”,即对匹配此列表的数据,包括输出的端口做日志。

然后输入“sh log”命令,其结果如下。

Syslog logging: enabled (0 messages dropped, 8 messages rate-limited, 0 flushes,0 overruns) Console logging: level debugging, 20239 messages logged Monitor logging: level debugging, 0 messages logged Buffer logging: level debugging, 20245 messages logged Exception Logging: size (4096 bytes) Trap logging: level informational, 20269 message lines logged Log Buffer (8192 bytes):01.180.36(0), 1 packet16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.197 (0) (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.198 (0) (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.199 (0) (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet16w6d: %SEC-6-IPACCESSLOGP: list 101 permitted tcp 245.206.1.200 (0) (Vlan101 5254.ab21.e77a) -> 202.101.180.36(0), 1 packet

关闭惹事计算机端口

从上面的输出结果可以清楚地观察到,产生虚假IP地址计算机的VLAN和MAC地址,通过我们自己的网管软件立即查找到此MAC地址的真实IP地址、用户姓名、部门、端口号等信息。登录用户计算机所在的二层交换机,关掉此计算机使用的端口,防火墙上监控的连接数即刻恢复到正常状态。

与该用户联系后,确定是用户计算机感染了木马病毒。

总之,监控局域网IP地址,限制电脑修改IP,管理电脑IP地址,IP地址监控软件,IP和MAC绑定,禁止修改IP软件,局域网arp绑定,阻止ARP病毒,绑定IP和MAC地址,IP和MAC地址捆绑软件等首选聚生网管局域网IP地址管理软件。

相关链接:

深入了解聚生网管局域网电脑IP地址管理软件技术优势:http://www.grabsun.com/ProductShow105.htm

即刻下载聚生网管试用:http://www.grabsun.com/download/grabsun.rar


 

 

相关链接:聚生网管专业禁止BT下载、限制QQ、封堵大智慧,屏蔽QQ游戏,防ARP欺骗!点击这里查看详情!
打印本页 || 关闭窗口

版权所有 2005-2008 聚生网管公司 版权所有,盗版必究
京ICP备05068297号