如何追踪IP攻击源

如何追踪IP攻击源如何追踪IP攻击源 “工欲善其事、必先利其器”，在正式追踪攻击者的来源之前，我们事先还要在本地网络中的网管工作站上安装一个著名的网络管理软件Solarwinds。这是一款商业软件，如果大家不想付费的话可以去该公司的站点下载40天的***用版。本例中会用到其中的“Switch Port Mapper” 工具，这是专门用来定位交换机端口和MAC地址之间的关系。 SNMP网络管理系统包括两大部分:管理进程和代理进程。在本例中，Solarwinds就是管理进程，而代理进程则需要我们去交换机上面进行配置。Solarwin...

如何追踪IP攻击源 “工欲善其事、必先利其器”，在正式追踪攻击者的来源之前，我们事先还要在本地网络中的网管工作站上安装一个著名的网络管理软件Solarwinds。这是一款商业软件，如果大家不想付费的话可以去该公司的站点下载40天的***用版。本例中会用到其中的“Switch Port Mapper” 工具，这是专门用来定位交换机端口和MAC地址之间的关系。 SNMP网络管理系统包括两大部分:管理进程和代理进程。在本例中，Solarwinds就是管理进程，而代理进程则需要我们去交换机上面进行配置。Solarwinds(管理进程)的安装很简单，在此就不加赘述了，笔者重点介绍一下如何在Cisco交换机上面启用snmp代理进程。启用代理进程的命令是snmp-server，分别登录到交换机192.168.0.15和交换机2192.168.0.80上面，在配置模式下输入以下命令: snmp-server community public ro snmp-server community fengyu rw 这样就启用了两台交换机上面的snmp代理进程，其中的public是团体名，用来验证的，ro 表示访问者具有只读权限;fengyu也是团体名，但是使用该团体名的访问者具有读写权限。接下来我们就可以打开Solarwinds的“Switch Port Mapper”工具来随时捕捉攻击者的真实来源了。部署完SNMP网络管理系统后，我们使用的时候只要将交换机的IP地址和团体名分别输入到“Switch Port Mapper”工具中的列表框中，然后点击“Map Ports”就可以了，这就是图形界面网络管理软件给我们带来的最大好处——简单、快捷、易用。追踪实例好了，所有的必备知识都介绍完了、准备工作也已经做好了，接下来让我们共同去分享一下SNMP网络管理系统在追踪黑客攻击时的威力吧。首先在192.168.0.9那台计算机上面打开局域网终结者，将网关192.168.0.1添加到阻断地址中，这样，我们的整个局域网就立刻处于瘫痪状态。从本地主机的ARP缓存中可以看见，网关的MAC地址已经由正确的“00-90-0b-01-d6-fe”变成了伪造的“00-06-7b-c1-d5-25”了: C:>arp -a Interface: 192.168.0.3 --- 0x2 Internet Address Physical Address Type 192.168.0.1 00-06-7b-c1-d5-25 dynamic 一般而言，如果我们怀疑本地局域网遭受到ARP欺骗攻击时，首先就要查看本地主机上的ARP缓存表，如果发现网关的MAC地址已经得到了改变，那么我们基本上就可以确信有人在某个角落里发起了ARP攻击。调出“Switch Port Mapper”工具，在两个下拉列表中分别输入192.168.0.15(由于我们现在并不知道攻击者当前所连接的交换机位置，所以就首先选择了连接数量比较多的交换机1)和团体名public后，点击“Map Ports”。“Switch Port Mapper”工具所反馈的信息如图2所示。图2 从图中可以看出，***亮度的MAC地址就是伪造的网关MAC地址，其对应的交换机端口为“Fa0/5”，即第5个端口。由于该端口同时记忆了六个MAC地址，因此能够判断出这是一个级联端口。从日常的网络管理文档中可知，该端口级联了192.168.0.80，也就是交换机2，下一步我们就该到192.168.0.80上面进行SNMP查询。同理，我们重新在下拉列表中输入192.168.0.80，团体名为public，点击“Map Ports”来查看反馈的信息，参见图3。图3中显示了伪造的MAC地址(***亮度)来源于“Fa0/9”，即交换机2的第九个端口，而在该端口上只有两个MAC地址，所以可以肯定另外一个就是攻击者真实的MAC地址。此时图上虽然没有显示出攻击者的IP地址，但并不妨碍我们对他的追踪，因为我们已经将其定位到交换机2的第9号端口上，所以在这个时候知道IP地址与否已经没有意义了，我们可以在稍后的阶段通过事先建立好MAC-IP地址表来查阅其IP地址，当前的任务是定位攻击者并将其踢出局域网。我们可以通过发送SNMP报文的方式禁止攻击者的计算机连接到局域网中。为了实现这个目的，首先要把团体名public改成fengyu，因为前者的访问权限为只读，无法对代理进程进行写数据的操作，更改完成后用右键点击“Fa0/9”，选择“Administratively Disable Interface”，以便禁用这个接口。禁用成功后，我们再次查看该接口的状态，会发现其“Operational Status”已经从绿色指示变成了红色指示。至此，攻击者的位置已经被我们轻而易举地找到，并且，利用SNMP网络管理软件的强大功能，一瞬间就可以将其踢出局域网，为整个网络的畅通扫除了障碍。点评: ARP欺骗追踪的根本就是IP地址和MAC地址的对应关系。一般我们在交换机上追踪的方式是登录交换机用命令行来进行查询，本文利用snmp来远程查询交换机的MAC表从而发现攻击源头，不失为一种方便快捷的方式，尤其在有多台交换机需要维护的情况下，可以为管理员节省较多的维护时间。

                    本文档为【如何追踪IP攻击源】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：免费已有0 人下载

立即下载

如何追踪IP攻击源

你可能还喜欢