我正在尝试追踪网络上哪个主机感染了 ZeroAccess。它在端口 16464-16471 上运行。我想找到这个主机,而不必将我的笔记本电脑连接到出口 (WAN) 接口。(因为这显然会破坏互联网)。
我正在考虑创建一个 ACL,然后记录违反 ACL 的情况。有没有更好的方法来追踪这个主机?
我尝试了“接口 gi0/2”和“ip accounting”,但它并没有显示活动连接正在哪些端口上工作。
硬件:运行 IOS 15 M16 的 Cisco 2920 路由器。
答案1
如何导出 Netflow 数据来追踪来源?
由于所有互联网流量(入口和出口)都将通过这两个端口,因此我假设从 LAN 或 WAN 端口导出 Netflow 都可以,但我会先在 LAN 端口上尝试。您还需要在其中一台计算机上安装 Netflow 收集器,作为 Netflow 导出的目的地。