我又来提问题了,nat环境下中毒了,怎么办。
毕业设计
1
现在内网环境使用nat网络,内网有一个出口IP对应一个网段,进行nat转换出去。现在发现内网有病毒,只能定位到nat后的地址和时间,如何能确定当时转换的地址呢?或者需要如何修改网络nat配置能够实现,能通过nat找到到底是哪一台主机中了病毒。整个内网大概200地址,不能定位,一台台跑不现实。每台设备在不通的地方。
-
1、你说的中毒现象是什么? 2、如何定位到NAT后的地址和时间的? 建议查找思路: 1、是否流量突增?如果是,可以在交换机上查看内网各交换机端口流量变化,找到流量in/out对应的主机或者有突增的主机进行检查; 2、是否中毒主机持续有连接?这个可以在被攻击的主机上查看连接,如果可以看到NAT后的地址,同时去防火墙上查看NAT session可以看到NAT前地址,再去查找对应的终端。
-
如果是NAT,那还需要知道出NAT后的端口才好找,然后如果路由能访问NAT表,理论上可以找到。Openwrt系统的路由是可以的,别的路由能不能就看具体情况了。 实际上在NAT的内网定位也没什么不可能,你不用去每台设备啊,你在NAT的LAN口抓数据就可以了。
发表回复