Announcement

**tin_superman** · 06-02-2009, 04:57 PM

Hi bạn!

Thứ nhất bạn viết ACL chan theo port 445 chan di.
Thứ hai ban kiếm phần mềm diệt virus cho cac máy cua ban , con do hinh nhu la virus ongame.

Neu co kho khan gi cu post len dien dan . Minh se giup tiep cho

:):):):)

**nguyenquocle** · 06-02-2009, 10:04 PM

hi media2005,
mạng của bạn nằm trong 2 trường hợp:
thứ 1 là mạng đang bị nhiễm worm
thứ 2 là trong cty bạn đang có 1 máy đang phát huy 1 cuộc tấn công giả mạo địa chỉ ip source và đích mục tiêu là tấn công port 445 gây nghẽn mạng.
Cả 2 trường hợp cần phải tìm hiểu sâu về hệ thống mạng của bạn, kiểm tra switch xem port nào đang chiếm bandwidth nhiều nhất hoặc sử dụng port 445 liên tục thì loại host đó ra khỏi mạng để xử lý.
mong thông tin trên sẽ giúp được bạn

**media2005** · 07-02-2009, 08:09 AM

Cảm ơn mọi người đã nhiệt tình giúp đỡ. HIện tại cơ quan có con ASA 5520 và 1 con WS 3560G. MÌnh đã cố chặn port 445 trên ASA nhưng vẫn không được. Bây giờ có lẽ phải chặn trên con SW 3560G. Cho mình hỏi là trong SW câu lệnh nào kiểm tra bandwidth của 1 port. Mới chuyển hệ thống từ SW thường sang layer3 và từ ISA sang ASA nên update chưa hết thông tin.Mong được giúp đỡ của các bạn

**nguyenquocle** · 07-02-2009, 10:28 AM

hi, bạn dùng câu lệnh nào trên ASA để chặn port 445 vậy?
bạn có thể sử dụng netflow để biết thêm thông tin về lưu lượng và các loại traffic đang có trong hệ thống mạng của bạn

**media2005** · 07-02-2009, 09:50 PM

Mình cấu hình ASA trên giao diện ASDM. mình chỉ chặn trên interface ADSL vì thấy các packet nó đi từ Lan đến ADSL.Nhưng giờ nghĩ lại nếu có máy trong LAN giả danh gửi packet thì mình phải chặn port trong interface LAN. Khi hệ thống bị tình trạng nghẽn NET thì lượng thông tin chạy qua interface ADSL rất ít nên mình nghĩ kg phải virus gửi thông tin ra ngoài qua Internet.Mình sẽ cố thử vào thứ 2 và sẽ báo kết quả.
To:nguyenquocle giúp mình câu lệnh đầy đủ để xem packet từ các IP trong LAN chạy qua ASA hoặc SW cisco.Mình nhớ là có 1 lệnh "nat xlate" hay là "show ip flow" gì đó mà lâu quá trả thầy hết rồi. Thanks all.Happy weeken

**nguyenquocle** · 09-02-2009, 08:25 AM

neu ban mun xem luong traffic đi như thế nào bằng câu lênh thì chắc không có đâu, bạn đành phải nhờ thêm vào syslog ,netflow hoặc thiết bị CSMARS thì mới mong bít chính xác host nào đang tấn công được

**media2005** · 18-02-2009, 11:34 AM

Đã giải quyết được dứt điểm con virus này. Mất thời gian và công sức quá trời.Hiện nay Kas đã nhận diện được virus này là Win32.Kido.

**NDNghia** · 22-02-2009, 07:38 PM

To:nguyenquocle giúp mình câu lệnh đầy đủ để xem packet từ các IP trong LAN chạy qua ASA hoặc SW cisco.Mình nhớ là có 1 lệnh "nat xlate" hay là "show ip flow" gì đó mà lâu quá trả thầy hết rồi. Thanks all.Happy weeken

Câu lệnh show local-host có thể cho biết thông tin số lượng kết nối TCP, UDP từ các IP flow đi qua ASA.

Announcement

Nhờ xem cái syslog con ASA5520

Nhờ xem cái syslog con ASA5520

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment