Free NetFlow Resources

このブログで私は、私たちのネットワークに送られてきたどんなものもからもRBNホスト221.192.8.90　をブロックする、私たちのルータにあるACL(アクセスコントロールリスト)の中で、どのようにして入り口を作成したのか、概略を説明します。私は、最新のブログ、ロシアンビジネスネットワーク－ネットフローのサイバー犯罪探知　(Russian Business Network – Detecting Cybercrime with NetFlow)の中でこの攻撃について論じました。
新しいRBNのアクセス－リスト1
以下は、私たちに拒否されたリストの一部です。例えば、リストアップする必要はありません(not necessary to list)　というように、ACLは、最後には、潜在する“全て拒否する”で、最初から最後まで順番に処理されていることを念頭に置いておいてください。　最後にアクセスリスト1”全て許可する“を加えることにより、もしまだ拒否命令文よって処理されていないなら、インタフェイスを通過する全てのトラフィックが許可されます。
以下は、私たちのルータのアクセスリストにある拒否入力のリストの一部です：
アクセス－リスト1拒否   68.190.10.209
アクセス－リスト1拒否   123.14.10.64
アクセス－リスト1拒否   221.192.8.90
アクセス－リスト1拒否   83.12.153.146
アクセス－リスト1拒否   69.217.30.214
アクセス－リスト1全て許可する
なぜならば、ACLは、順番に処理されていて、その順序は、重要です。もし“全て許可する”がACLの最初にあったならば、全てのトラフィックは、許可され、拒否命令は、決して使用されないでしょう。
あなたがACLを作成した後、インタフェイスに適用する必要があります。この場合、私たちのルータ上で外のインタフェイスに適用しています。(シリアル0/0/0)
以下のコマンドを実行してみてください：
IR#configure terminal
IR(config)#interface serial 0/0/0
IR(config-if)#ip access-group 1 in
設定モードでは、あなたが適用しているACLからインタフェイスを設定してください。次にインタフェイスのシリアル0/0/0でACL1をインバウンドトラフィックに適用しているip access-group 1へ実行してください。
過程の自動設定
もしLogalotのようなツールをお持ちでしたら、Scrutinizerは、Logalotが受け取るメッセージ（すなわち、シスログ）の特定情報に基づいたルータ上でLogalotがACLを変更することを許可するシスログを送ることが可能です。言い換えれば、ACLのアップデート過程を自動設定可能です。Cool or what!
Michael Patterson
Scrutinizer Product Manager

例えば、あなたが会社のワークステーションとアプリケーションサーバーの間にあるネットワークトラフィックに関しての情報を探しているのならば、私たちは、それをacmeapplication.comと呼びましょう。ご存知の通り、acmeapplication.comは、ランダムなポート番号を使用して、要求に応じてダウンロードをワークステーションへ送還するのに使用されています。
 
ネットワークトラフィックを監視するためにNetFlow解析ソフトウェアを使用する際には、ポート80の多くのHTTPがConversationsフィルターの援助と通信するのをご覧になるでしょう。しかし、以下に示された通り、acmeapplication.comによって使用されたランダムなポートは、表示されません。
 
しかしながら、もしあなたがConnectionsに関して、同じインターフェイスに報告するためにフィルターを交換するならば、ソース/ポートのあて先がワークステーションとacmeapplication.comの両方によって使用されているのをご覧になるでしょう。
 
以下に示された通り、Scrutinizerのコネクション概略報告は、有名なポートと会話セッション間にacmeapplication.comが使用されているランダムなポートの両方を提供しています。
 
ですから、もしあなたがネットワークトラフィックを監視についてさらに詳しく、そしてより多くのアプリケーションによりカスタマイズされたポートの情報が欲しいのならば、MikeのブログHow to Application Groupsをチェックしてみてください。
 
Scott