Я пытаюсь отследить, какой хост в моей сети заражен ZeroAccess. Он работает на портах 16464-16471. Я хотел бы найти этот хост, не подключая свой ноутбук к выходному (WAN) интерфейсу. (Потому что это, очевидно, отключило бы Интернет).
Я думаю, что могу создать ACL, а затем регистрировать нарушения ACL. Есть ли лучший способ отследить этот хост?
Я пробовал "interface gi0 / 2" "ip Accounting" И он не показывает, на каких портах работают активные соединения.
Оборудование: Маршрутизатор Cisco 2920 под управлением IOS 15 M16.
Как насчет экспорта данных Netflow для отслеживания источника?
Поскольку весь интернет-трафик (входящий и исходящий) будет проходить через оба порта, я предполагаю, что экспорт Netflow из любого из портов LAN или WAN будет работать, но я бы сначала попробовал его на порту LAN. Вам также необходимо установить коллектор Netflow на один из ваших компьютеров, чтобы он действовал как место назначения для экспорта Netflow.