CCIE.pl

site 4 CCIE wannabies
https://ccie.pl/

Logi połączeń

https://ccie.pl/viewtopic.php?f=44&t=23667

Strona 1 z 1

Logi połączeń

: 11 sie 2017, 14:11
autor: cesarks
Witam,

Ostatnio w syslogu (ASA5510) zaczęło mi się pojawiać bardzo dożo wpisów typu:

Kod: Zaznacz cały

2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52984 to Outside:x.x.x.x/52984 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55809 to Outside:x.x.x.x/55809 duration 0:00:30
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58773 to Outside:x.x.x.x/58773
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58776 to Outside:x.x.x.x/58776
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55879 to Outside:x.x.x.x/55879 duration 0:00:30
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58781 to Outside:x.x.x.x/58781
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52995 to Outside:x.x.x.x/52995 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58788 to Outside:x.x.x.x/58788
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53016 to Outside:x.x.x.x/53016 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58797 to Outside:x.x.x.x/58797
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/55003 to Outside:x.x.x.x/55003 duration 0:00:39
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58811 to Outside:x.x.x.x/58811
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58823 to Outside:x.x.x.x/58823
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58839 to Outside:x.x.x.x/58839
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58840 to Outside:x.x.x.x/58840
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/52985 to Outside:x.x.x.x/52985 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53042 to Outside:x.x.x.x/53042 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58849 to Outside:x.x.x.x/58849
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58853 to Outside:x.x.x.x/58853
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305011: Built dynamic TCP translation from Inside:10.10.10.125/58857 to Outside:x.x.x.x/58857
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:00: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53053 to Outside:x.x.x.x/53053 duration 0:01:00
2017-08-05 00:00:00	Local4.Info	192.168.1.1	Aug 05 2017 00:00:01: %ASA-6-305012: Teardown dynamic TCP translation from Inside:10.10.10.125/53072 to Outside:x.x.x.x/53072 duration 0:01:00
Z jakiegoś powodu host 10.10.10.125 wykonuje bardzo dużo połączeń z sieci wewnętrznej do internetu podany przykład z okresu 1 sek.
W syslogu brak innych informacji na temat do jakiego adresu/strony są te połączenia.
Jak można sprawdzić gdzie faktycznie się dobija host 10.10.10.125 ?

Re: Logi połączeń

: 11 sie 2017, 14:19
autor: frontier
A sprawdzales te adresy z jakimi sie host laczy? A jeszcze mozesz zlapac ruch i obejrzec w wiresharku.

Re: Logi połączeń

: 11 sie 2017, 15:08
autor: cesarks
No właśnie problem w tym że w syslogu jest tylko że host 10.10.10.125 łączy się z x.x.x.x - jest to adres mojego interfejsu Outside na ASA. Na chwilę obecną nie mam możliwości podpięcia się wiresharkiem.

Re: Logi połączeń

: 11 sie 2017, 15:22
autor: martino76
cesarks pisze:No właśnie problem w tym że w syslogu jest tylko że host 10.10.10.125 łączy się z x.x.x.x - jest to adres mojego interfejsu Outside na ASA. Na chwilę obecną nie mam możliwości podpięcia się wiresharkiem.
Nie musisz sie podpinac wireshark, mozesz sobie zrobic to z CLI zerknij na https://www.cisco.com/c/en/us/support/d ... sa-00.html

Pozdro,

Re: Logi połączeń

: 14 sie 2017, 08:23
autor: cesarks
Okazuje się że połączenia idą do rożnych adresów ale zawsze na port 445 (jakiś wirus ?), na razie wyłączyłem hosta z sieci.
Dzięki za pomoc, nie znałem tej funkcji na ASA.
Strefa czasowa UTC+02:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl