网管网络安全知识之局域网如何抓住伪IP地址

.

点击数：    日期：2013-06-04 09:27:30

.

防火墙的性能监控忽然出现问题，每天在2 000～5 000之间变动的连接数，今天持续在36 000个左右变动，由于情况异常立刻打开防火墙“实时监控”中的“连接信息”，发现有一个端口出现大量异常数据包。

其特点为：所有目的IP地址是同一个（202.101.180.36），但源IP地址在不停地变化，IP地址变化有明显的规律性，并且不是我们单位的内部地址。pc141网络安全知识()

根据经验可以看出来源IP地址是由一个程序自动产生的，现在需要查出是哪台连网的计算机用伪造的IP地址疯狂对外发送数据包。

在交换机上查找

由于我们单位的IP地址与MAC地址绑定、MAC地址与端口绑定，因此发送数据的计算机一定是属于合法的用户，一种情况是用户在使用黑客工具攻击其他人，为隐藏自己真实的IP地址而不断变换IP地址。

另一种情况是用户的计算机被病毒感染，病毒自动对外发送大量数据包，并自动变化源IP地址。当务之急是迅速查出发出大量数据包的计算机真实IP地址。

考虑到防火墙的位置和功能，与防火墙技术人员沟通后，认为在防火墙上无法找到此机器的真实IP地址，因此在三层交换机Cisco 6509上查找。我查阅了一下资料，在Cisco 6509进行以下配置：