msr3610series下电脑被攻击,怎么查看被攻击的是哪台电脑
- 0关注
- 0收藏,192浏览
问题描述:
msr3610series链接的电脑被僵尸网络病毒攻击,但是链接的电脑有几十台,怎么查看被攻击的是哪台电脑,并且以后怎么设置路由器可以防御。谢谢!
- 2026-03-26提问
- 举报
-
(0)
第一步:定位被感染的电脑
当内网电脑被僵尸网络控制时,通常会持续向外部控制端发起连接或扫描,这种行为会在路由器上留下明显痕迹。你可以通过以下方法锁定这台设备:
1. 查看路由器日志,锁定可疑IP
通过命令行登录路由器,查看日志和会话记录,找出连接数异常或访问可疑地址的IP:
2. 利用黑名单功能反向定位
MSR3610系列支持动态黑名单功能。你可以先开启扫描攻击防范,当路由器检测到扫描行为时,会自动将攻击源IP加入黑名单:
3. 如果以上方法难以直接锁定
可以采取“排除法”快速缩小范围:
在核心交换机或路由器上配置端口镜像,将流量镜像到一台运行Wireshark的电脑上
筛选
tcp.port == 445、dns.qry.name contains "malware"或tcp.flags.syn == 1 and tcp.flags.ack == 0等典型恶意流量特征通过MAC地址反查接入交换机端口,定位具体是哪个工位/网口
第二步:路由器安全配置(长期防御)
在找到感染源之后,更重要的是通过路由器配置避免类似情况再次发生。
配置建议概览
| 配置方向 | 核心作用 | 关键命令 |
|---|---|---|
| 开启攻击防范 | 自动拦截扫描、泛洪等攻击行为 | attack-defense apply policy default |
| 配置ACL访问控制 | 限制内网对外访问权限,减少暴露面 | acl advanced 3000 配合 packet-filter |
| 启用黑名单联动 | 动态封锁攻击源IP | attack-defense scan flood enable |
1. 开启攻击防范功能(关键)
MSR3610系列内置了攻击检测与防范模块,可以有效防御单包攻击、扫描攻击和泛洪攻击。建议在连接内网的接口上启用默认策略:
如果内网电脑不需要访问外网,可以只开放必要的业务端口(如HTTP/HTTPS、DNS),其余全部阻断:
3. 启用黑名单功能
让路由器自动封锁发起扫描或攻击的IP:
4. 关闭不必要的端口和服务
减少攻击面,例如关闭SSH、Telnet等远程管理端口的公网访问:
- 2026-03-26回答
- 评论(0)
- 举报
-
(0)
1. 检查ARP攻击日志:`display logbuffer | include ARP` 查看攻击源IP和MAC
2. 查看ARP表异常:`display arp | include Incomplete` 或大量重复IP
3. 检查接口流量:`display interface brief` 看哪个端口流量异常,再用`display counters inbound interface GigabitEthernet x/x/x` 详细查看
4. 定位主机:根据异常MAC在`display mac-address`中查对应端口
防御配置:
1. 启用ARP防护:
arp detection enable
arp anti-attack rate-limit enable
arp anti-attack rate-limit 10 (每源MAC每秒ARP报文数)
2. 配置ARP固化:`arp fixed-bandwidth enable`
3. 启用IP源防护:`ip verify source`
4. 限制用户侧ARP学习:`arp max-learning-num 50`
需要补充:设备软件版本、具体攻击现象(丢包/断网)、是否已开启日志功能。
- 2026-03-26回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论