问题:
一个未知的私人(NAT)客户端感染了恶意软件,它试图随机访问一个Bot服务器。
我们如何知道这一点:
我们收到来自REN-ISAC的 botstream量通知/警报。 不幸的是,我们直到发生后的第二天才收到。 他们提供给我们的是:
题:
用思科ASA作为防火墙查找内部主机(历史上)的最佳方法是什么?
我猜测阻塞任何目标地址,并logging这种types的stream量/访问可能让我find源主机,但我不知道哪个工具/命令将是最有用的。
我已经看到Netflow在日志logging中引起了一些反应,但是我把它与Logging,NAL和nBAR的关联以及它们与Netflow的关系混淆了。
关于来自@jowqwerty的问题,我假定您对思科ASA及其背后的内部networking负责,对吗?
如果是这样,你是在正确的轨道上。 我build议使用ASA的日志和/或捕获function来缩小stream量。
你越能把目的地缩小得越好。 你提到有目标子网,你有目标协议/端口吗? 我会build立一个匹配目标和日志命中的ACL。
例如:
ip access-list extended find_infected permit <tcp/udp> any <destination subnet> <destination mask> eq <destination port> log 然后将这样一个ACL应用到ASA的内部接口。 然后交叉引用未来滥用报告与您的日志条目。
捕获function基于此故障排除技术,允许您以PCAP格式捕获stream量。 然后,您可以使用WireShark等工具对其进行进一步分析。
ASA / PIX / FWSM:使用CLI和ASDMconfiguration示例捕获数据包