當公司對外線路流量衝高之後,使用Ntop工具還是追查不到,有可能該流量是被加密處理過,簡易的追查方式是:
先從Cisco Router上,流量較大的interface追起:
1. sh ip cache s0/0 flow
2. 把IP Flow Switching Cache貼到文字檔,再開啟EXCEL載入此文字檔,以空白分隔
3. 打開有一個Pkts欄位,排序這個欄位,把最高的幾筆IP找出來
4. 到Cisco PIX上,show conn | in 這幾個IP
5. 查看是誰在連這些可疑IP的什麼服務port,如下:
T121F-PIX525# sh conn | in 203.69.138.8
TCP out 203.69.138.8:443 in 10.185.59.199:2353 idle 0:00:00 Bytes 366945414 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2367 idle 0:00:00 Bytes 365583735 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2359 idle 0:00:00 Bytes 364010407 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2363 idle 0:00:00 Bytes 363703764 flags UIO
該死的user(10.185.59.199)正在爽爽的使用https下載東西。
下一步就看你要讓他怎麼個死法了。
skip to main |
skip to sidebar
待人接物如山風輕拂,自我充實如漫水深淹。
Index
- 電腦組裝 (1)
- AIX (5)
- Cisco (10)
- Dos (1)
- Linux (3)
- Network Tools (2)
- Shell Script (1)
- SNMP (1)
- Win2003 (1)
- WinXP (1)
網誌存檔
關於我自己
Visitors Count
沒有留言:
張貼留言