2010年3月17日 星期三

追查異常流量

當公司對外線路流量衝高之後,使用Ntop工具還是追查不到,有可能該流量是被加密處理過,簡易的追查方式是:

先從Cisco Router上,流量較大的interface追起:
1. sh ip cache s0/0 flow
2. 把IP Flow Switching Cache貼到文字檔,再開啟EXCEL載入此文字檔,以空白分隔
3. 打開有一個Pkts欄位,排序這個欄位,把最高的幾筆IP找出來
4. 到Cisco PIX上,show conn | in 這幾個IP
5. 查看是誰在連這些可疑IP的什麼服務port,如下:

T121F-PIX525# sh conn | in 203.69.138.8
TCP out 203.69.138.8:443 in 10.185.59.199:2353 idle 0:00:00 Bytes 366945414 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2367 idle 0:00:00 Bytes 365583735 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2359 idle 0:00:00 Bytes 364010407 flags UIO
TCP out 203.69.138.8:443 in 10.185.59.199:2363 idle 0:00:00 Bytes 363703764 flags UIO

該死的user(10.185.59.199)正在爽爽的使用https下載東西。
下一步就看你要讓他怎麼個死法了。

沒有留言: