使用历史目标数据查找私有 (NAT) 主机的 IP

使用历史目标数据查找私有 (NAT) 主机的 IP

问题:
未知的私人(NAT)客户端感染了恶意软件,并试图在随机时间/日期访问Bot服务器。

我们如何知道这一点:
我们收到来自伦斯卡。不幸的是,我们直到事件发生后的第二天才收到这些信息。他们向我们提供了以下信息:

  • (防火墙的)源地址
  • 目标地址(各不相同,但它们将进入分配给德国 ISP 的网络子网)
  • 源端口(变化的——动态端口)。

问题:
找到这个内部主机(历史上)的最佳方法是什么思科 ASA作为防火墙?

我是猜测阻止任何到目标地址的内容,并记录该类型的流量/访问可能允许我找到源主机,但我不确定哪个工具/命令最有用。

我看到 Netflow 在日志记录方面被提及,但我对它与记录、NAL 和 nBAR,以及它们与 Netflow 的关系。

答案1

关于@jowqwerty 的问题,我假设您负责 Cisco ASA 及其背后的内部网络,对吗?

如果是这样,那么您就走对了路。我建议使用 ASA 的日志记录和/或捕获功能来缩小流量范围。

目标范围越小越好。您提到有目标子网,那么您是否也有目标协议/端口?我会建立一个与目标匹配并记录命中的 ACL。

例如:

ip access-list extended find_infected
 permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log

然后将这样的 ACL 应用于 ASA 的内部接口。然后将未来的滥用报告与您的日志条目进行交叉引用。

捕获功能建立在此故障排除技术之上,允许您以 PCAP 格式捕获流量。然后,您可以使用 WireShark 等工具进一步分析它。

ASA/PIX/FWSM:使用 CLI 和 ASDM 配置示例进行数据包捕获

相关内容