|
|
|
|
移动端

2.6 案例二:谁动了我的胶片(3)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍案例二:谁动了我的胶片。

作者:李晨光来源:机械工业出版社|2014-11-26 20:54

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

2.6 案例二:谁动了我的胶片(3)

从本机的ARP 缓存里看这个可疑IP 地址的MAC 地址为00-0d-56-21-af-d6,登录交换机一看果然还是这个地址。

  1. BJ-SW#show arp | in 192.168.1.11  
  2. Internet 192.168.1.11 3 000d.5621.afd6 ARPA Vlan20 

下一步,要知道他的计算机是接到哪台交换机上。

  1. BJ-SW#show mac-address-table dynamic address 000d.5621.afd6  
  2. Unicast Entries  
  3. vlan mac address type protocols port  
  4. -------+---------------+--------+---------------------+--------------------  
  5. 20 000d.5621.afd6 dynamic ip,ipx GigabitEthernet3/2 

从结果看这是通过千兆端口连接。看看邻居(这是核心交换机的二级级联交换机)。

  1. BJ-SW-419-1-4#sh cdp neighbors  
  2. Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge  
  3. S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone  
  4. Device ID Local Intrfce Holdtme Capability Platform Port ID  
  5. SW-419-2-3 Gig 3/4 152 S I WS-C3550-4Gig 0/2  
  6. SW-419-1-3 Gig 3/3 168 S I WS-C3550-4Gig 0/2  
  7. SW-440-1-4 Gig 3/1 173 S I WS-C3550-4Gig 0/2  
  8. SW-440-2-4 Gig 3/2 143 S I WS-C3550-2Gig 0/2 

终于找到它了,在SW-440-2-4 Gig 3/2 143 SI WS-C3550-2Gig 0/2 上。下面我们直接登录到SW-440-2-4 这台交换机,输入MAC 查找。

  1. SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6  
  2. Mac Address Table  
  3. -------------------------------------------  
  4. Vlan Mac Address Type Ports  
  5. ---- ----------- -------- -----  
  6. 20 000d.5621.afd6 DYNAMIC Fa0/23  
  7. Total Mac Addresses for this criterion: 1 

然后根据综合布线时的跳线表就可直接连到这台计算机。接下来关闭该端口。

注意:

作为管理人员,快速定位交换机端口,找出IP 和MAC 对应关系是必须掌握的技能,熟悉以上方法,在排除故障时可达到事半功倍的效果。

张坤发现了这个系统就连在服务器交换机的第23 个端口上,于是冲下大楼直奔小机房,迅速来到Catalyst 交换机前找到第23 端口,开始顺藤摸瓜。可杂乱繁多的网线,一看就头疼,查找问题花去了张坤很多的时间。最后终于找到了连接的主机。张坤发现,该主机内部有两块网卡。他从网线堆里爬出来,无奈地看着这台机子,机箱上面贴着一张发黄的标签,上面写着Squid Proxy Server。这时张坤立刻有种反胃的感觉,因为这台服务器至少1 年多没有使用了,而且自从他升职后,这台服务器也确实没有使用过。

张坤现在根本不能确定黑客到底是从哪儿入侵的,代理服务器又为他们的调查出了一个令清单交给了张坤。张坤迅速回到自己的座位开始工作。他登录到Squid 代理服务器上,希望这一次能有所发现。

互动问答

1)在FTP 和SSH 日志中都没有找到充分的证据,这说明了什么?

2)张坤使用跟踪代理服务器的方法是最佳方法吗?

3)张坤是如何通过邮件头信息找到那个IP 的?

4)如何通过网络工具查找?

5)如何查到拨号用户的来源?

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

《ASP.NET AJAX Web 应用开发秘诀(VB版)》

本书详细介绍了AJAX在Web开发上的应用。主要内容包括:ASP.NET AJAX技术概述、实现异步局部更新页面、UpdatePanel编程功能、PageRequestMan...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊