IP Source Track（IP源追踪）

泰克实验室塑造

当怀疑某台主机正在遭受攻击时，利用IP Source Track（IP源追踪）可以对收集攻击流量的信息，而且可以很轻易的追踪到该攻击是从什么位置进入本地网络的。
IP Source Track工作过程
Step 1 当你某台主机正在被攻击时，在路由器上启动针对被攻击主机地址的ip source-track。
Step 2 每个接口（卡）为被攻击的地址创建一个CEF入口。这样的用处是：口（卡）利用ASICs进行包交换，CEF入口将包发往接口（卡）上的CPU。
Step 3 CPU收集关于被攻击地址的流量信息。
Step 4 收集到的数据会被周期性的发往路由器。这些信息可以利用相应的命令查看到。
Step 5 对这些信息进行分析后你可以得知攻击是从哪台上游服务器传入的，这时，你可以在当前路由器上关闭ip source-track，并在上游路由器上开启这一功能。
Step 6 重复进行1到5步知道确定攻击源。
Step 7 利用ACL或CAR以阻止攻击。
注意：从上面可以看出来；ip source-track需要CEF支持，需要首先运行ip cef（默认是启用的）。
配置命令：
ip source-track 地址       '启用针对被攻击主机地址的源追踪，注意地址是被攻击主机的地址。
ip source-track address-limit 数值        '这个命令用于限制可以开启的针对被攻击主机地址的源追踪的数量，简单说就是 ip source-track 地址 这个命令你能打几个。默认是没有限制的。注意不要同时开太多的ip source-track，这个东西占太多的资源。
ip source-track syslog-interval 数值        '设置当启动追踪后，多长时间生成一次系统日志。这个命令一定要注意！这个syslog中并没有关于被攻击地址的任何信息！只是提醒你ip source-track功能现在正在运行~~默认为0，单位是分钟。
ip source-track export-interval 数值        '这个命令才是设置生成的关于被攻击地址的信息的周期。默认30，单位是秒！！！！注意上个命令单位是分钟！
主要的查看信息命令：
show ip source-track 地址
show ip source-track 地址 summary

phil

Thanks for your information.