ASA/IPS常见问题:IPS如何在事件日志中显示未转换的实际IP地址?

下载选项

  • PDF     (206.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (128.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (124.2 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2015 年 2 月 10 日
文档 ID:118729

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档说明Cisco入侵防御系统(IPS)如何在事件日志中显示未转换的实际IP地址,尽管自适应安全设备(ASA)在执行网络地址转换(NAT)后会向IPS发送流量。

背景信息

拓扑

    • 服务器的专用IP地址:192.168.1.10
    • 服务器的公有IP地址(Nated):  203.0.113.2
    • 攻击者的IP地址:203.0.113.10

IPS如何在事件日志中显示未转换的实际IP地址?

解释

当ASA向IPS发送数据包时,它会将该数据包封装到Cisco ASA/安全服务模块(SSM)背板协议报头中。此报头包含一个字段,表示ASA后面内部用户的实际IP地址。

这些日志显示向服务器公有IP地址203.0.113.2发送Internet控制消息协议(ICMP)数据包的攻击者。IPS上捕获的数据包显示ASA在执行NAT后将数据包发送到IPS。

IPS# packet display PortChannel0/0
Warning: This command will cause significant performance degradation
tcpdump: WARNING: po0_0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on po0_0, link-type EN10MB (Ethernet), capture size 65535 bytes
03:40:06.239024 IP 203.0.113.10 > 192.168.1.10: ICMP echo request, id 512, seq 
31232, length 40
03:40:06.239117 IP 203.0.113.10 > 192.168.1.10: ICMP echo request, id 512, seq 
31232, length 40
03:40:06.239903 IP 203.0.113.2 > 203.0.113.10: ICMP echo reply, id 512, seq 
31232, length 40
03:40:06.239946 IP 203.0.113.2 > 203.0.113.10: ICMP echo reply, id 512, seq 
31232, length 40

以下是来自攻击者的ICMP请求数据包的IPS事件日志。
 

evIdsAlert: eventId=6821490063343  vendor=Cisco  severity=informational  
  originator:   
    hostId: IPS  
    appName: sensorApp  
    appInstanceId: 1305  
  time: Dec 24, 2014 03:43:57 UTC  offset=0  timeZone=UTC  
  signature:   description=ICMP Echo Request  id=2004  version=S666  type=other  
  created=20001127  
    subsigId: 0  
    sigDetails: ICMP Echo Request  
  interfaceGroup: vs0  
  vlan: 0  
  participants:   
    attacker:   
      addr: 203.0.113.10  locality=OUT  
    target:   
      addr: 192.168.1.10  locality=OUT  
      os:   idSource=unknown  type=unknown  relevance=relevant  
  alertDetails: InterfaceAttributes:  context="single_vf" physical="Unknown" 
  backplane="PortChannel0/0" ;  
  riskRatingValue: 35  targetValueRating=medium  attackRelevanceRating=relevant  
  threatRatingValue: 35  
  interface: PortChannel0/0  context=single_vf  physical=Unknown  backplane=
  PortChannel0/0  
  protocol: icmp

以下是IPS上从内部服务器获取ICMP应答的事件日志。

evIdsAlert: eventId=6821490063344  vendor=Cisco  severity=informational  
  originator:   
    hostId: IPS  
    appName: sensorApp  
    appInstanceId: 1305  
  time: Dec 24, 2014 03:43:57 UTC  offset=0  timeZone=UTC  
  signature:   description=ICMP Echo Reply  id=2000  version=S666  type=other  
  created=20001127  
    subsigId: 0  
    sigDetails: ICMP Echo Reply  
  interfaceGroup: vs0  
  vlan: 0  
  participants:   
    attacker:   
      addr: 192.168.1.10  locality=OUT  
    target:   
      addr: 203.0.113.10  locality=OUT  
      os:   idSource=unknown  type=unknown  relevance=relevant  
  alertDetails: InterfaceAttributes:  context="single_vf" physical="Unknown" 
  backplane="PortChannel0/0" ;  
  riskRatingValue: 35  targetValueRating=medium  attackRelevanceRating=relevant  
  threatRatingValue: 35  
  interface: PortChannel0/0  context=single_vf  physical=Unknown  backplane=
  PortChannel0/0  
  protocol: icmp

以下是在ASA数据平面上收集的捕获。

   1: 09:55:50.203267       203.0.113.10 > 192.168.1.10: icmp: echo request
   2: 09:55:50.203877       203.0.113.2 > 203.0.113.10: icmp: echo reply
   3: 09:55:51.203541       203.0.113.10 > 192.168.1.10: icmp: echo request
   4: 09:55:51.204182       203.0.113.2 > 203.0.113.10: icmp: echo reply

解码的ASA数据平面捕获。

相关信息

TAC Authored

由思科工程师提供

  • Prashant Joshi and Dinkar Sharma
    Cisco TAC Engineers.

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品