问
msr3610series下电脑被攻击,怎么查看被攻击的是哪台电脑
13小时前提问
- 0关注
- 0收藏,34浏览
第一步:定位被感染的电脑
当内网电脑被僵尸网络控制时,通常会持续向外部控制端发起连接或扫描,这种行为会在路由器上留下明显痕迹。你可以通过以下方法锁定这台设备:
1. 查看路由器日志,锁定可疑IP
通过命令行登录路由器,查看日志和会话记录,找出连接数异常或访问可疑地址的IP:
# 查看近期所有日志,过滤包含攻击特征的记录
display nat session | count | include <源IP>僵尸网络的特征通常是:某个内网IP在短时间内有大量对外连接(特别是非HTTP/HTTPS的高位端口),或者频繁尝试解析恶意域名。
2. 利用黑名单功能反向定位
MSR3610系列支持动态黑名单功能。你可以先开启扫描攻击防范,当路由器检测到扫描行为时,会自动将攻击源IP加入黑名单:
# 开启扫描攻击防范(触发阈值可根据实际情况调整)
attack-defense scan floo
# 查看动态生成的攻击源黑名单
display blacklist黑名单中显示的IP,大概率就是被感染的终端。3. 如果以上方法难以直接锁定
可以采取“排除法”快速缩小范围:
在核心交换机或路由器上配置端口镜像,将流量镜像到一台运行Wireshark的电脑上
筛选
tcp.port == 445、dns.qry.name contains "malware"或tcp.flags.syn == 1 and tcp.flags.ack == 0等典型恶意流量特征通过MAC地址反查接入交换机端口,定位具体是哪个工位/网口
第二步:路由器安全配置(长期防御)
在找到感染源之后,更重要的是通过路由器配置避免类似情况再次发生。
配置建议概览
| 配置方向 | 核心作用 | 关键命令 |
|---|---|---|
| 开启攻击防范 | 自动拦截扫描、泛洪等攻击行为 | attack-defense apply policy default |
| 配置ACL访问控制 | 限制内网对外访问权限,减少暴露面 | acl advanced 3000 配合 packet-filter |
| 启用黑名单联动 | 动态封锁攻击源IP | attack-defense scan flood enable |
1. 开启攻击防范功能(关键)
MSR3610系列内置了攻击检测与防范模块,可以有效防御单包攻击、扫描攻击和泛洪攻击。建议在连接内网的接口上启用默认策略:
# 进入系统视图
system-view
# 创建攻击防范策略
attack-defense policy default # 开启扫描攻击防范(例如:10秒内收到5个扫描报文即触发)
scan detect level high
# 开启泛洪攻击防范(例如:SYN Flood阈值设为2000包/秒)
syn-flood detect non-ip
syn-flood action drop
# 在连接内网的接口上应用该策略
interface GigabitEthernet0/0
attack-defense apply policy default inbound
2. 配置ACL限制内网访问外网
如果内网电脑不需要访问外网,可以只开放必要的业务端口(如HTTP/HTTPS、DNS),其余全部阻断:
# 创建高级ACL
acl advanced 3000 # 放行业务必需流量(根据实际需要开放)
rule 5 permit tcp destination-port eq 80
# HTTP
rule 10 permit tcp destination-port eq 443
# HTTPS
rule 15 permit udp destination-port eq 53 # DNS
# 拒绝所有其他流量(内网向外发起的新连接)
rule 100 deny ip
# 应用到内网接口的出方向
interface GigabitEthernet0/0
packet-filter 3000 outbound
注意:配置ACL前请确认内网需要访问的业务(如邮件、ERP等),避免误断正常业务。
3. 启用黑名单功能
让路由器自动封锁发起扫描或攻击的IP:
4. 关闭不必要的端口和服务
减少攻击面,例如关闭SSH、Telnet等远程管理端口的公网访问:
# 仅允许特定IP管理路由器(避免外网暴力破解)
acl advanced 3001
rule 5 permit tcp source 192.168.1.100 0 destination-port eq 22 # 在VTY线路上应用
line vty 0 4
acl 3001 inbound
zhiliao_Gixe
三段
查看被攻击电脑:
1. 检查ARP攻击日志:`display logbuffer | include ARP` 查看攻击源IP和MAC
2. 查看ARP表异常:`display arp | include Incomplete` 或大量重复IP
3. 检查接口流量:`display interface brief` 看哪个端口流量异常,再用`display counters inbound interface GigabitEthernet x/x/x` 详细查看
4. 定位主机:根据异常MAC在`display mac-address`中查对应端口
防御配置:
1. 启用ARP防护:
arp detection enable
arp anti-attack rate-limit enable
arp anti-attack rate-limit 10 (每源MAC每秒ARP报文数)
2. 配置ARP固化:`arp fixed-bandwidth enable`
3. 启用IP源防护:`ip verify source`
4. 限制用户侧ARP学习:`arp max-learning-num 50`
需要补充:设备软件版本、具体攻击现象(丢包/断网)、是否已开启日志功能。
1. 检查ARP攻击日志:`display logbuffer | include ARP` 查看攻击源IP和MAC
2. 查看ARP表异常:`display arp | include Incomplete` 或大量重复IP
3. 检查接口流量:`display interface brief` 看哪个端口流量异常,再用`display counters inbound interface GigabitEthernet x/x/x` 详细查看
4. 定位主机:根据异常MAC在`display mac-address`中查对应端口
防御配置:
1. 启用ARP防护:
arp detection enable
arp anti-attack rate-limit enable
arp anti-attack rate-limit 10 (每源MAC每秒ARP报文数)
2. 配置ARP固化:`arp fixed-bandwidth enable`
3. 启用IP源防护:`ip verify source`
4. 限制用户侧ARP学习:`arp max-learning-num 50`
需要补充:设备软件版本、具体攻击现象(丢包/断网)、是否已开启日志功能。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论