PDF《高的问题》

0050 ... scram scrappers dative DstIPaddress Pr SrcP DstP Pkts Vl1 193.23.45.35 Vl3 2.34.56.12

06 0F9F

0050 2 Vl1 211.101.189.208 Null 158.36.179.59

06 0457

0050 1 Vl1 193.23.45.35 Vl3 34.56.233.233

06 3000

0050 1 Vl1 61.146.138.212 Null 158.36.175.45

06 B301

0050 1 Vl1 193.23.45.35 Vl3 98.64.167.174

06 0EED

0050 1 Vl1 202.96.242.110 Null 158.36.171.82

06 0E71

0050 1 Vl1 193.23.45.35 Vl3 123.231.23.45

06 121F

0050 1 Vl1 193.23.45.35 Vl3 9.54.33.121

06 1000

0050 1 Vl1 193.23.45.35 Vl3 78.124.65.32

06 09B6

0050 1 Vl1 24.180.26.253 Null 158.36.179.166

06 1132

0050 1 如果异常地看到条目一大量用同样源IP地址、随机目的地IP地址

1、DstP =

0050 (HTTP)和PR =

06 (TCP),您很可能查找感染的设 备.在本例中输出示例,源IP地址是193.23.45.35并且来自VLAN1. 1Another Code Red 蠕虫病毒的版本,呼叫 红色代码II ,不选择一完全随意的目的IP地址.反而, 红色代码II 保持IP地址 的网络部分,并且选择IP地址的一个随机的主机部分为了传播.通过这种方式,它可以在同一网络范围内更快地传播. 红色代码II 使用这些网络和掩码: Mask Probability of Infection 0.0.0.0 12.5% (random) 255.0.0.0 50.0% (same class A) 255.255.0.0 37.5% (same class B) 被屏蔽的目标IP地址是127.X.X.X和224.X.X.X和没有八位位组允许是0或255.另外,主机不尝试再传染自己. 欲知更多信息,参考红色代码(ii) . 有时,您不能运行Netflow检测 Code Red 袭击尝试.这可以是因为您运行不支持Netflow的编码版本,或者,因为路由器有不足或 非常地被分段的内存对以启用NetFlow.思科建议您不以启用NetFlow,当只有多入口接口和一出口接口在路由器时,因为NetFlow记 账在入口路径执行.在这种情况下,最好在独立的出口接口上启用IP记帐功能. 注意:?ip accounting命令功能失效DCEF.请勿启用在您要使用DCEF交换的任何平台的IP记帐. Router(config)#interface vlan

1000 Router(config-if)#ip accounting Router#show ip accounting Source Destination Packets Bytes 20.1.145.49 75.246.253.88

2 96 20.1.145.43 17.152.178.57

1 48 20.1.145.49 20.1.49.132

1 48 20.1.104.194 169.187.190.170

2 96 20.1.196.207 20.1.1.11

3 213 20.1.145.43 43.129.220.118

1 48 20.1.25.73 43.209.226.231

1 48 20.1.104.194 169.45.103.230

2 96 20.1.25.73 223.179.8.154

2 96 20.1.104.194 169.85.92.164

2 96 20.1.81.88 20.1.1.11

3 204 20.1.104.194 169.252.106.60

2 96 20.1.145.43 126.60.86.19

2 96 20.1.145.49 43.134.116.199

2 96 20.1.104.194 169.234.36.102

2 96 20.1.145.49 15.159.146.29

2 96 在show ip accounting命令输出中,请寻找尝试发送数据包到多个目的地地址的源地址.如果感染的主机是在扫描相位,尝试建立对 其他路由器的HTTP连接.因此您将看到尝试到达多个IP地址.多数这些正常连接尝试失败.所以,您看到仅很小数量的数据包转接, 其中每一与小字节数.在本例中,很可能20.1.145.49和20.1.104.194被传染. 当您运行在Catalyst 5000系列和Catalyst 6000系列时的多层交换(MLS),您必须采取不同的步骤到认为的以启用NetFlow和搜寻袭 击.在Cat6000交换机中配备有Supervisor 1多层交换特性卡(MSFC1)默认情况下或SUP I/MSFC2,基于网络数据流的MLS启用,但是流 模式目的地专用.所以,没有缓存源IP地址.您能启动 全流的 模式在set mls flow full命令帮助下搜寻感染的主机在 Supervisor. 对于混合模式,请使用set mls flow full命令: 6500-sup(enable)set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may dramatically increase the number of MLS entries. 对于本地IOS模式,请使用mls flow ip full命令: Router(config)#mls flow ip full 当您启动 全流的 模式时,警告显示指示在MLS交换项的一个显著增长.如果您的网络已经骚扰 Code Red 蠕虫病毒,增加的MLS 交换项的影响是情有可原的在短时长.蠕虫病毒造成您的MLS交换项额外和上涨. 要查看收集的信息,请使用这些命令: 对于混合模式,请使用set mls flow full命令: 6500-sup(enable)set mls flow full Configured IP flowmask is set to full flow. Warning: Configuring more specific flow mask may dramatically increase the number of MLS entries. 对于本地IOS模式,请使用mls flow ip full命令: Router(config)#mls flow ip full 当您启动 全流的 模式时,警告显示指示在MLS交换项的一个显著增长.如果您的网络已经骚扰 Code Red 蠕虫病毒,增加的MLS 交换项的影响是情有可原的在短时长.蠕虫病毒造成您的MLS交换项额外和上涨. 要查看收集的信息,请使用这些命令: 对于混合模式,请使用show mls ent命令: 6500-sup(enable)show mls ent Destination-IP Source-IP Prot DstPrt SrcPrt Destination-Mac Vlan EDst ESrc DPort SPort Stat-Pkts Stat-Bytes Uptime Age 注意:?当他们在 全流的 模式时,所有这些字段填写. 对于本地IOS模式,请使用show mls ip命令: Router#show mls ip DstIP SrcIP Prot:SrcPort:DstPort Dst i/f:DstMAC Pkts Bytes SrcDstPorts SrcDstEncap Age LastSeen 当您确定在攻击时和目的地端口涉及的源IP地址,您能送回MLS到 目的地专用 模式. 对于混合模式请使用set mls flow destination命令: 6500-sup(enable) set mls flow destination Usage: set mls flow 对于本地IOS模式,请使用mls flow ip destination命令: Router(config)#mls flow ip destination Supervisor (Sup) II/MSFC2组合从攻击保护,因为CEF交换在硬件里被执行,并且Netflow统计信息被维护.因此,即使在 Code Red 攻击期间,........