ROS受到内网攻击如何查到是哪台机

夕夜如风

昨晚ros 2.9.27受到内网攻击，内网网卡 Rx Packet Rate 超过70000，
在Firewall Connections 查看表现为大量伪造地址发向 61.128.237.138
drop 掉 这个地址后，内网 Rx Packet Rate 没有减少，但外网网卡 Tx Packet Rate 数值恢复正常。

但请问，如何能查找到内网的哪一台机伪造地址向外发出呢？


呵呵。看来 pentium 4 3.73ee 性能还是不错，在这样高的Rx Packet Rate下，虽然CPU有时会到达80-100，但内网机器上网还能保持正常

[ 本帖最后由 夕夜如风 于 2006-11-28 12:28 编辑 ]

风中的云

挨个拔网线

seignior

不用那么痛苦吧(挨个拔网线)？大致看交换机也能猜到一些了吧？然后看看那个范围是那个王八蛋在玩单机游戏(或者类似)就差不多是他了。

platinum

针对 dst 是 61 那个外网地址的数据做记录，找出内网来源的 MAC 即可

seignior

我提名楼上的做安全版版主，现任的那两个都是猪(哈哈哈)

其实能把基础的东西弄好，理顺思路，很多所谓的安全问题就已经消失了。

loveball

原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录，找出内网来源的 MAC 即可

同意四楼的话..我也是这样做的.

风中的云

mac若是真的当然可以很轻松的找出，看交换机在人少的时候可以，人多的时候不一定管用。
其实倒也不用挨个拔，现在骨干交换机上挨个拔，断开下面的交换机，所小范围，然后再挨个拔出连接到电脑的网线

夕夜如风

原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录，找出内网来源的 MAC 即可

能说得详细一些吗？谢谢您了

xhb912

原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录，找出内网来源的 MAC 即可

这位大哥说的在理.可是一般有攻击的时候.都进不去WINBOX里抓包了.

platinum

原帖由 xhb912 于 2006-11-29 11:13 发表


这位大哥说的在理.可是一般有攻击的时候.都进不去WINBOX里抓包了.

如果遇到这种恶劣情况的话，交换机支持端口镜像就好了

xhb912

原帖由 platinum 于 2006-11-29 11:15 发表

如果遇到这种恶劣情况的话，交换机支持端口镜像就好了

支持的话。。做法是？请教！

platinum

把出口端口的数据镜像到某个端口上，然后连个电脑装个 sniffer（比如 Ethereal）抓包分析即可

夕夜如风

交换机是支持端口镜象的，但公安要求这个交换机只能插三条网线：
1、路由
2、下级交换机
3、公安监控硬件任子行

nbeggplant

我倒，你查好了再拨下来嘛

fysfxy

不会那么掺吧！连winbox 都进不去，我也有过这样的情况，但都还能进winbox 然后我点  IP -----ACCounting------然后分析一秒，把数据量最大的IP找出来。剩下的工作就是你自己的，找到那小子，是拨皮是下油锅，全看你的了~