马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
首先如何确定被攻击,首先进入winbox,点system-resources看一下现在ROS软路由的CPU占用情况,一般不会超过10%,如果发现连续很久都在50%以上,那么说明内网可能存在攻击源或者病毒攻击,这里候可以查看IP-FIREWALL-CONNECTIONS中的连接情况,通过两种排序的方法来排查。
     第一、排序SRC.addrees查看是否存在非法IP,记录下其对应的DST.addrees。
    第二、查看TCP STATE,查看是否存在大量的SYN SENT(半连接)
    对比一下两个,如果大量非法IP都对应的是SYN SENT就可以确定是存在内网攻击,此时进入TOOL-PACKET SNIFFER-GENERAL界面INTERFACE选择内网,TOOL-PACKET SNIFFER-FILTER,PROTOCOL选择IP ONLY ,ADDRESS1中选择刚才查到的DST.ADDRESS,选择APPLY,再选择START开始抓包,约30秒即可选STOP停止。从抓包列表中双击非法IP,弹出的对话框中将显示SRC.MAC ADDRESS,再打开二个非法包的对话框看其SRC.MAC ADDRESS是否是一样的,如果一样可以确定该MAC地址一定是攻击源。
   现在得到了攻击源的MAC地址,就很容易查到是哪台机器了,如果你绑订了arp,直接进入ip-arp查看一下这个MAC地址所对应的IP即可 |
发表于 2006-7-25 00:16:07
楼主