问:linux下可以用来分析内网可疑地址的方法很多,既可以用iptraf工具,也可以用netstat或者ip_contrack文件分析来做,而且可以配合wc、grep、awk等工具进行快速分析。请教各位cisco下该怎么做呢?
目前只能用show ip nat translate | include ip段这样的方法逐段排除,而且不能用wc这样的计算统计工具,效率很低。如果抓包的话,一秒几万个,分析就累死了,而且依然不容易体现连接数和流量统计之类的情况,请教下各位高手该怎么做,有哪些命令或组合或者其他工具可以解决的么?——查找内网可能出问题的机器IP。
答:很多小的路由器都可以对单个IP的连接数和流量做监控检测,内网机器出问题是类似于ARP攻击这样的吗?如果是的话可以选择用sniffer抓包来看,当然不用抓,只是看看哪个IP地址或者MAC地址发的广播包非常多,比网关还要多.如果是ARP攻击,看到哪个地址广播多 可以单抓这个地址的包分析一下 看看是不是ARP应答很多.在查看地址.IP地址的话 直接找那台电脑就是了.如果是MAC地址的话 可以再交换机上查看在哪个端口,直接拔掉,等那人找你来就可以了.。
另外可以尝试:如果想查异常大流量的话可以使用netflow来解决,路由器开启netflow功能以后,可以show ip flow top-talkers ,就OK了,没你想的那么麻烦,配合软件的话更方便,开源的话我在使用NFDUMP,还是可以的,分析功能比较丰富,命令行模式。
