有没有办法在 Cisco 路由器上设置日志记录以记录所有主机 IP 和成功访问网络的端口以及上次访问端口的时间,并在最大时间阈值后自动从日志中收集垃圾记录打。
我希望有这样一个日志,我可以从 TCL 程序访问该程序,该程序可以检查主机已被授予访问主机的哪些端口以及它们是否仍在积极使用该端口。
该日志将使我能够编写一个动态端口授予 API,例如端口敲击或类似方案,并减少这些天在边缘路由器上发生的暴力攻击的数量
该解决方案必须是轻量级的,以便它可以直接在较小规模的 SMB 路由器(如 800 系列)上独立运行。
这听起来像是 NBAR 和 netflow 的工作。
NBAR 收集协议统计信息:
rtr3745#show ip nbar protocol-discovery protocol http
FastEthernet0/1
Input Output
----- ------
Protocol Packet Count Packet Count
Byte Count Byte Count
30sec Bit Rate (bps) 30sec Bit Rate (bps)
30sec Max Bit Rate (bps) 30sec Max Bit Rate (bps)
------------------------ ------------------------ ------------------------
http 910077 478364
1355496116 35911309
0 0
45313000 1184000
unknown 2521171 130821
2612681510 21335665
1000 0
18759000 105000
Total 4661716 1686610
4321983406 182285406
2000 4000
75164000 1544000
Netflow 可以收集(和导出)所有流量的统计信息:
rtr3745#show ip cache flow
...
IP Flow Switching Cache, 278544 bytes
223 active, 3873 inactive, 301379 added
182598876 ager polls, 0 flow alloc failures
Active flows timeout in 60 minutes
Inactive flows timeout in 600 seconds
...
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-Telnet 551 0.0 1 59 0.0 0.6 599.4
TCP-FTP 11 0.0 1 41 0.0 0.0 491.6
TCP-WWW 17048 0.0 149 972 4.2 52.1 52.5
TCP-SMTP 14 0.0 1 48 0.0 0.4 600.5
TCP-X 322 0.0 1 40 0.0 0.4 594.8
TCP-other 82581 0.1 27 404 3.8 216.4 118.1
UDP-DNS 88256 0.1 1 66 0.1 2.5 600.5
UDP-NTP 7639 0.0 10 75 0.1 1302.2 448.2
UDP-TFTP 6 0.0 1 56 0.0 0.0 600.3
UDP-other 100432 0.1 6 170 1.0 146.7 581.3
ICMP 1623 0.0 6 57 0.0 748.2 496.3
IPv6INIP 168 0.0 6964 1092 1.9 3557.4 22.1
-IP-other 612 0.0 127 384 0.1 2912.6 170.9
Total: 299263 0.4 23 699 11.4 157.9 424.0
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Fa0/0 24.225.xxx.xxx Fa0/1* 38.114.132.204 06 C261 006E 26
Fa0/0 192.168.1.2 Fa0/1 173.194.205.104 06 8B3C 01BB 10
...