https://www.opennet.ru/openforum/vsluhforumID6/18389.html Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом.<br><br>Заранее спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#7 Sat, 14 Mar 2009 03:36:54 GMT &gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;<br>&gt;Заранее спасибо. <br><br>а вирусный трафик известно по каким портам работает? ;)<br>я делаю, на циске с включеным нетфлоу<br><br>show ip cac flow &#124; inc 0019 <br><br>где 0019 это 25 smtp порт в hex формате<br><br>потом получаешь кучу строчек с трансляциями своих клиентов<br>те у кого одновременных трансляций больше чем 5, на разные адреса - заражены.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#6 Thu, 12 Mar 2009 07:38:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Заранее спасибо. <br>&gt;&gt;<br>&gt;&gt;IOS IPS? <br>&gt;&gt;Правда нужно много памяти и флэща. <br>&gt;<br>&gt;Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом. <br>&gt;<br>&gt;Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$ <br>&gt;итого 120$ и у вас 2821 нафарширована выше крыши. <br><br>угу. но 120$ это 120$ - кризис все таки ;)<br>еще бы купить нужный ИОС и контракт на обновления - и будет щастье ;)<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#5 Thu, 12 Mar 2009 07:24:39 GMT &gt;&gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;&gt;<br>&gt;&gt;Заранее спасибо. <br>&gt;<br>&gt;IOS IPS? <br>&gt;Правда нужно много памяти и флэща. <br><br>Хм.. Память kingston KVR400X72C3A/512 цена 50$ за модуль - жужжит аж бегом.<br>Flash CF 1Gb x120 кажется - никаких проблем... цена была 20$<br>итого 120$ и у вас 2821 нафарширована выше крыши.<br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#4 Thu, 12 Mar 2009 07:14:55 GMT &gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;<br>&gt;Заранее спасибо. <br><br>IOS IPS?<br>Правда нужно много памяти и флэща.<br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#3 Thu, 12 Mar 2009 07:09:48 GMT &gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;<br>&gt;Заранее спасибо. <br><br>Я вешаю acl <br>permit ip any any log<br>и смотрю что в логи падает.<br>Или как вариант врубить nbar protocol-discovery на интерфейсе и проанализовать что за трафик ходит.<br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#2 Wed, 11 Mar 2009 12:14:59 GMT &gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;<br>&gt;Заранее спасибо. <br><br>если знать на каком порту вирь работает, то можно повесить аксеслист и смареть срабатывания. заодно зарежешь этот трафик.<br> https://www.opennet.ru/openforum/vsluhforumID6/18389.html#1 Wed, 11 Mar 2009 12:14:27 GMT &gt;Имеется Cisco 2821 с заведенными на нем клиентскими подинтерфеййсами, VLAN и т.п. <br>&gt;Подозревается наличие у клиента вирусного траффика. Пните, пожалуйста, какими инструментами провести <br>&gt;анализ. Трафик по netflow сливается на коллектор, где обрабатывается KRUSом. <br>&gt;<br>&gt;Заранее спасибо. <br><br>netflow для начала и посмотреть...<br>По IP-у.<br><br>