最近突然想到要備份網路設備的設定檔,發現
無法使用 telnet 連入,但使用 snmp 與 icmp(ping) 皆正常;但由於該設備重要性頗高,所以無法直接重開機,需深入檢查。
- 使用 show users 或 who 時發現,有一個 ip 佔用 vty 1 頻道已達 2w2d ,此 ip 使用 whois 反查後發現來源是大陸北京
- 使用 clear line vty 1 成功,但該 ip 仍持續佔用 vty 1 ,無法踢除連線。
- 使用 show tcp vty 1 檢查該 ip 是針對哪個連線,結果是連線至 a (該設備底下 vlan1 的 gateway) 的 23 port ,流量不大,但持續連線中。
- 使用 show tcp brief 檢查該 ip 對 a 連線的 tcb address
- 使用 clear tcp tcb [tcb address] 來清除該 ip 的連線
- 再以 show users 或 show tcp brief 再檢查該 ip 是否已被中斷連線
上述六步驟做完後已確定該 ip 被我方中斷連線,再一次 telnet 設備就已正常。
無法判斷此次狀況是否為入侵或資安事件。
上述步驟相關資料來源來自「
這裡」
沒有留言:
張貼留言