本帖最后由 清风慕竹 于 2020-10-27 23:23 编辑
1.1、问题描述 客户那边如果给你一个IP说是VPN用户的,需要确定是否属于VPN? 1.2、思路排查 (1)登录设备控制台,查看访问资源方式 如果发现设备是以设备的IP地址作为源地址,那么需要去设备的网络配置里面看下客户提供的IP是否和设备业务IP相同。 集群设备有两台,可以去集群选项中看到另外一个设备的地址。 (2)如果访问资源方式是以虚拟ip访问 那么去虚拟ip池中查看客户提供的IP是否在虚拟ip池中,比对即可 1.3、用户要求溯源怎么办 设备未配置外置数据中心,但是发送了syslog日志,其中发送了用户的登录注销日志以及使用的ip,让客户去对应的syslog服务器上去查日志。 注意:如果用户是以设备接口ip去访问资源,那么syslog日志中看到的ip是设备的接口ip,溯源无效,无法定位用户,其他定位用户方式存在偶然性,只可判断大致用户列表。如果是以虚拟ip去访问资源,那么syslog日志中可看到恶意用户使用的ip,查看攻击事件时间段该IP对应的用户即可定位。 |