iT邦幫忙

0

在防火牆 Log 發現奇怪來源的IP Address,請問要如何防止?

cklin 2009-04-13 10:08:3810178 瀏覽

由於平常會去觀察 Firewall Log 增長的變化
發現最近這一個禮拜以來,在 Firewall 外腳(與ISP界接的Interface)出現下列的訊息
"IP spoofing! From 192.168.1.68:11357 to xxx.xxx.xxx.xxx:25, proto TCP (zone Untrust, int ethernet0/0). Occurred 1 times."

Firewall 型號是 Juniper ssg20 ,Log 中的xxx.xxx.xxx.xxx是我們的Mail Relay legal IP Address.

奇怪的是 From 192.168.1.68是從Firewall 外腳,也就是Internet 來,但是192.168.X.X 這一段IP 應該是Class C Private IP address?

在Firewall 上直接下Policy 直接來阻擋這一段IP,但又攔截不到?
請教各位先進,這狀況要如何防止?

會不會是VPN
keleboy iT邦新手 5 級 ‧ 2009-04-15 09:15:57 檢舉
cklin iT邦新手 2 級 ‧ 2009-04-15 09:54:08 檢舉
應該不是VPN來的~
理由是:
1.VPN流量不會經過這一台Firewall
2.將Firewall 外腳(與ISP界接的Interface)設定Policy drop packet from 192.168.X.X,已經5天了,不只沒收到drop log 也沒有User反應VPN不能用。

1 個回答

22
gkkangel
iT邦好手 1 級 ‧ 2009-04-13 11:56:55
最佳解答

你應該要先查出來的是哪一個ip偽裝成192.168.1.68.這個ip.
你單純去檔那個網段是沒用的...

cklin iT邦新手 2 級 ‧ 2009-04-13 13:01:49 檢舉

請問: 是要掛Sniffer 去抓封包,還是有另外簡單的方式去查出來的是哪一個ip偽裝?

cklin iT邦新手 2 級 ‧ 2009-04-15 10:00:43 檢舉

現在的問題是 Firewall 外腳直接介接ISP的設備,若要掛設備上去抓封包,勢必要中斷網路接個Hub上去分流。
但目前形勢不允許中斷網路,請問還有方法可以查出來的是哪一個ip偽裝嗎?

gkkangel iT邦好手 1 級 ‧ 2009-04-15 22:36:55 檢舉

你用Wireshark,或是Sniffer去聽封包.
不用特意去串Hub.
在同一個網段之下.
如果你的設備是Switch...
直接接就可以監聽了...
要看你們家的設備而定..
你可以先去看那個ip的Mac.
先把那偽裝192.168.1.68先Ban掉....
在來考慮提升內部的網路管理機制...
ex:ip邦Mac等..
看你們廠內的Client數是否夠多..
或是考慮在內部在串一個防火牆.
Or其它的方式..
方法很多要看你怎麼作.!

我要發表回答

立即登入回答