防火墙定位病毒感染源

根据被攻击的IP去匹配会话信息，看下是哪个内网IP

还有就是上特征库看哪个被病毒库阻断

第一步：紧急应急响应
1.1 立即隔离攻击IP
# 创建紧急ACL阻断攻击IP的出站流量
acl number 3999
rule 0 deny ip source [感染源IP] destination any
rule 5 permit ip source any destination any

# 应用到外网接口出方向
interface GigabitEthernet1/0/3 # 外网接口
packet-filter 3999 outbound
1.2 保存当前会话信息
# 立即保存当前会话表（关键证据）
display session table source-ip [攻击源IP] verbose
display session table destination-ip [被攻击目标IP] verbose

# 保存到文件
display session table > flash:/security_incident_sessions.txt
第二步：基于攻击特征进行溯源
2.1 利用会话表追踪感染源
# 查看与攻击目标相关的所有会话
display session table destination-ip [被攻击服务器IP] verbose

# 关键字段关注：
# - 源IP、源端口
# - 目的IP、目的端口
# - 协议类型
# - 会话开始时间
# - 应用协议识别
2.2 使用NetStream流量分析（如有配置）
# 查看NetStream流量统计
display netstream statistics ip destination-ip [被攻击IP]

# 如果配置了流量镜像，查看详细记录
display netstream cache ip destination-ip [被攻击IP] verbose
第三步：深度流量分析定位
3.1 基于时间范围的会话查询
# 根据网警提供的攻击时间范围查询
display session table source-ip [攻击源IP] destination-ip [被攻击IP] verbose
display session table time-range [攻击时间段]
3.2 安全策略命中分析
# 查看安全策略命中情况
display security-policy hit-count source-ip [内网IP段]
display security-policy hit-count destination-ip [被攻击IP]

# 重点关注命中次数异常的策略规则
第四步：日志深度分析
4.1 会话日志分析
# 查看会话日志（需开启会话日志功能）
display logbuffer session
display logfile session.log

# 过滤关键信息
display logbuffer | include "[被攻击IP]"
display logbuffer | include "[攻击时间]"
4.2 攻击特征日志分析
# 查看IPS/AV攻击日志（如有许可证）
display logbuffer attack
display logbuffer virus

# 查看DDoS攻击日志
display logbuffer ddos
第五步：流量特征识别恶意软件
5.1 常见恶意软件通信特征
根据攻击类型识别可能的恶意软件：
# 检查异常端口通信
display session table destination-port 4444,5555,6666,7777,8888 # 常见后门端口
display session table destination-port 53 # DNS隧道可疑流量
display session table destination-port 80,443 # HTTP/HTTPS隐蔽通道

# 检查异常协议
display session table protocol tcp destination-port 1-1024 # 系统端口异常使用
5.2 僵尸网络特征检测
# 检查高频连接（僵尸网络特征）
display session table source-ip [可疑内网IP] | count
# 如果单个IP会话数异常多（如>1000），高度可疑

# 检查到多个异常目标的连接
display session table source-ip [可疑内网IP] destination-ip different-count
第六步：高级排查技术
6.1 流量镜像抓包分析
# 配置流量镜像（如需要深度分析）
mirroring-group 1 remote-source
mirroring-group 1 mirroring-port GigabitEthernet1/0/3 both
mirroring-group 1 monitor-port GigabitEthernet1/0/4

# 使用Wireshark等工具分析镜像流量
6.2 NetStream详细分析
# 如果配置了NetStream，导出流记录分析
display netstream cache ip verbose
display netstream aggregate ip source-ip [内网网段]
第七步：系统化排查流程
7.1 创建排查脚本
# 创建自动化排查脚本
system-view
alias trace_malware display session table source-ip %1 verbose
alias check_policy display security-policy hit-count source-ip %1
alias port_scan display session table source-ip %1 destination-port %3
7.2 分层排查策略
排查层次：
1. 【紧急】基于攻击IP的会话追踪
2. 【重点】基于时间范围的流量分析
3. 【深度】协议和端口特征识别
4. 【扩展】内网横向移动检测
第八步：感染源确认和处置
8.1 确认感染源后的紧急处置
# 1. 隔离感染主机
acl number 4000
rule 0 deny ip source [感染源IP] destination any
rule 5 deny ip destination [感染源IP]
interface range all
packet-filter 4000 inbound
packet-filter 4000 outbound

# 2. 记录证据
display session table source-ip [感染源IP] verbose > flash:/infected_host_evidence.txt

# 3. 通知相关团队
8.2 加强监控策略
# 针对感染源IP加强监控
security-policy ip
rule name Monitor_Infected_Host
source-ip [感染源IP]
destination-ip any
action pass
logging enable
profile ips strict_policy
profile av maximum_detection
第九步：预防加固措施
9.1 立即加固策略
# 创建恶意软件防护策略
security-policy ip
rule name Block_Malware_Ports
source-zone trust
destination-zone untrust
destination-ip any
application default
service 445,135,139,5555,4444 # 常见恶意软件端口
action deny
logging enable

# 启用IPS和AV检测
ips policy default
rule 1 severity high action block
av policy default
scan enable
9.2 增强日志记录
# 配置详细的安全日志
info-center enable
info-center loghost [日志服务器IP]
security-log host [安全日志服务器IP]
第十步：排查报告模板
10.1 证据收集清单
# 必须收集的证据信息
display current-configuration
display session table source-ip [感染源IP] verbose
display security-policy hit-count
display logbuffer | include "[感染源IP]"
display clock # 记录排查时间
实用排查命令汇总
# 快速排查命令集
# 1. 基础会话查询
display session table destination-ip [被攻击IP] verbose

# 2. 时间范围查询
display session table time-range [攻击开始时间] to [攻击结束时间]

# 3. 端口特征排查
display session table destination-port [可疑端口]

# 4. 协议分析
display session table protocol tcp destination-ip [被攻击IP]

# 5. 策略命中分析
display security-policy hit-count
重要注意事项
时效性：攻击发生后尽快排查，会话表有超时时间
法律合规：所有操作需符合公司安全政策和法律法规
证据保全：所有排查记录需保存为证据
协调沟通：与网警保持密切沟通，了解攻击详细信息
业务影响：隔离操作前评估业务影响
按照这个系统化方案，您应该能够快速定位到感染源。建议按照紧急程度从第一步开始执行，确保在最短时间内控制安全风险。

一般事上安全设备，比如ndr这种