The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 2821. Как определить наличие вирусного траффика у клие..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от aleks_grey email(??) on 11-Мрт-09, 15:08 
Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.

Заранее спасибо.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от fantom email(ok) on 11-Мрт-09, 15:14 
>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

netflow для начала и посмотреть...
По IP-у.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от bokl on 11-Мрт-09, 15:14 
>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

если знать на каком порту вирь работает, то можно повесить аксеслист и смареть срабатывания. заодно зарежешь этот трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от Punks email on 12-Мрт-09, 10:09 
>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

Я вешаю acl
permit ip any any log
и смотрю что в логи падает.
Или как вариант врубить nbar protocol-discovery на интерфейсе и проанализовать что за трафик ходит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от ilya (ok) on 12-Мрт-09, 10:14 
>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

IOS IPS?
Правда нужно много памяти и флэща.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от fantom email(ok) on 12-Мрт-09, 10:24 
>>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>>
>>Заранее спасибо.
>
>IOS IPS?
>Правда нужно много памяти и флэща.

Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом.
Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$
итого 120$ и у вас 2821 нафарширована выше крыши.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от ilya (ok) on 12-Мрт-09, 10:38 
>[оверквотинг удален]
>>>
>>>Заранее спасибо.
>>
>>IOS IPS?
>>Правда нужно много памяти и флэща.
>
>Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом.
>
>Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$
>итого 120$ и у вас 2821 нафарширована выше крыши.

угу. но 120$ это 120$ - кризис все таки ;)
еще бы купить нужный ИОС и контракт на обновления - и будет щастье ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 2821. Как определить наличие вирусного траффика у клие..."  
Сообщение от test (??) on 14-Мрт-09, 06:36 
>Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п.
>Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести
>анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.
>
>Заранее спасибо.

а вирусный трафик известно по каким портам работает? ;)
я делаю, на циске с включеным нетфлоу

show ip cac flow | inc 0019  

где 0019 это 25 smtp порт в hex формате

потом получаешь кучу строчек с трансляциями своих клиентов
те у кого одновременных трансляций больше чем 5, на разные адреса - заражены.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру