问题:
未知的私人(NAT)客户端感染了恶意软件,并试图在随机时间/日期访问Bot服务器。
我们如何知道这一点:
我们收到来自伦斯卡。不幸的是,我们直到事件发生后的第二天才收到这些信息。他们向我们提供了以下信息:
- (防火墙的)源地址
- 目标地址(各不相同,但它们将进入分配给德国 ISP 的网络子网)
- 源端口(变化的——动态端口)。
问题:
找到这个内部主机(历史上)的最佳方法是什么思科 ASA作为防火墙?
我是猜测阻止任何到目标地址的内容,并记录该类型的流量/访问可能允许我找到源主机,但我不确定哪个工具/命令最有用。
我看到 Netflow 在日志记录方面被提及,但我对它与记录、NAL 和 nBAR,以及它们与 Netflow 的关系。
答案1
关于@jowqwerty 的问题,我假设您负责 Cisco ASA 及其背后的内部网络,对吗?
如果是这样,那么您就走对了路。我建议使用 ASA 的日志记录和/或捕获功能来缩小流量范围。
目标范围越小越好。您提到有目标子网,那么您是否也有目标协议/端口?我会建立一个与目标匹配并记录命中的 ACL。
例如:
ip access-list extended find_infected
permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log
然后将这样的 ACL 应用于 ASA 的内部接口。然后将未来的滥用报告与您的日志条目进行交叉引用。
捕获功能建立在此故障排除技术之上,允许您以 PCAP 格式捕获流量。然后,您可以使用 WireShark 等工具进一步分析它。