ROS受到内网攻击如何查到是哪台机
昨晚ROS 2.9.27受到内网攻击,内网网卡 Rx Packet Rate 超过70000,在Firewall Connections 查看表现为大量伪造地址发向 61.128.237.138
drop 掉 这个地址后,内网 Rx Packet Rate 没有减少,但外网网卡 Tx Packet Rate 数值恢复正常。
但请问,如何能查找到内网的哪一台机伪造地址向外发出呢?
呵呵。看来 pentium 4 3.73ee 性能还是不错,在这样高的Rx Packet Rate下,虽然CPU有时会到达80-100,但内网机器上网还能保持正常
[ 本帖最后由 夕夜如风 于 2006-11-28 12:28 编辑 ] 挨个拔网线 不用那么痛苦吧(挨个拔网线)?大致看交换机也能猜到一些了吧?然后看看那个范围是那个王八蛋在玩单机游戏(或者类似)就差不多是他了。 针对 dst 是 61 那个外网地址的数据做记录,找出内网来源的 MAC 即可 我提名楼上的做安全版版主,现任的那两个都是猪(哈哈哈)
其实能把基础的东西弄好,理顺思路,很多所谓的安全问题就已经消失了。 原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录,找出内网来源的 MAC 即可
同意四楼的话..我也是这样做的. mac若是真的当然可以很轻松的找出,看交换机在人少的时候可以,人多的时候不一定管用。
其实倒也不用挨个拔,现在骨干交换机上挨个拔,断开下面的交换机,所小范围,然后再挨个拔出连接到电脑的网线 原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录,找出内网来源的 MAC 即可
能说得详细一些吗?谢谢您了 原帖由 platinum 于 2006-11-29 00:39 发表
针对 dst 是 61 那个外网地址的数据做记录,找出内网来源的 MAC 即可
这位大哥说的在理.可是一般有攻击的时候.都进不去WINBOX里抓包了. 原帖由 xhb912 于 2006-11-29 11:13 发表
这位大哥说的在理.可是一般有攻击的时候.都进不去WINBOX里抓包了.
如果遇到这种恶劣情况的话,交换机支持端口镜像就好了 原帖由 platinum 于 2006-11-29 11:15 发表
如果遇到这种恶劣情况的话,交换机支持端口镜像就好了
支持的话。。做法是?请教! 把出口端口的数据镜像到某个端口上,然后连个电脑装个 sniffer(比如 Ethereal)抓包分析即可 交换机是支持端口镜象的,但公安要求这个交换机只能插三条网线:
1、路由
2、下级交换机
3、公安监控硬件任子行 我倒,你查好了再拨下来嘛 不会那么掺吧!连winbox 都进不去,我也有过这样的情况,但都还能进winbox 然后我点IP -----ACCounting------然后分析一秒,把数据量最大的IP找出来。剩下的工作就是你自己的,找到那小子,是拨皮是下油锅,全看你的了~
页:
[1]
2