由於平常會去觀察 Firewall Log 增長的變化
發現最近這一個禮拜以來,在 Firewall 外腳(與ISP界接的Interface)出現下列的訊息
"IP spoofing! From 192.168.1.68:11357 to xxx.xxx.xxx.xxx:25, proto TCP (zone Untrust, int ethernet0/0). Occurred 1 times."
Firewall 型號是 Juniper ssg20 ,Log 中的xxx.xxx.xxx.xxx是我們的Mail Relay legal IP Address.
奇怪的是 From 192.168.1.68是從Firewall 外腳,也就是Internet 來,但是192.168.X.X 這一段IP 應該是Class C Private IP address?
在Firewall 上直接下Policy 直接來阻擋這一段IP,但又攔截不到?
請教各位先進,這狀況要如何防止?
你應該要先查出來的是哪一個ip偽裝成192.168.1.68.這個ip.
你單純去檔那個網段是沒用的...
請問: 是要掛Sniffer 去抓封包,還是有另外簡單的方式去查出來的是哪一個ip偽裝?
現在的問題是 Firewall 外腳直接介接ISP的設備,若要掛設備上去抓封包,勢必要中斷網路接個Hub上去分流。
但目前形勢不允許中斷網路,請問還有方法可以查出來的是哪一個ip偽裝嗎?
你用Wireshark,或是Sniffer去聽封包.
不用特意去串Hub.
在同一個網段之下.
如果你的設備是Switch...
直接接就可以監聽了...
要看你們家的設備而定..
你可以先去看那個ip的Mac.
先把那偽裝192.168.1.68先Ban掉....
在來考慮提升內部的網路管理機制...
ex:ip邦Mac等..
看你們廠內的Client數是否夠多..
或是考慮在內部在串一個防火牆.
Or其它的方式..
方法很多要看你怎麼作.!