 |
4.2.1 整网核心交换机数据流分析说明
1、整网核心交换机的端口镜像功能以前在部署使用网络岗软件的时候就已经设置好了,因此,我们只要将科来移动分析终端接在核心交换机端口镜像接口即可抓取全网数据包了;
2、对核心交换机数据流的分析,我们将关注的重点放在网络层和应用层的分析。
4.2.2 整网核心交换机数据流分析
通过对核心交换机数据包的仔细分析,我们大致发现了以下几个网络层、应用层的问题:
冲击波、震荡波等蠕虫攻击行为
IP分片数据包攻击行为
ICMP攻击行为
其他异常数据流
下面分别针对这几种异常数据流进行分析:
4.2.2.1 冲击波/震荡波数据流分析
1、通过对核心交换机数据包的捕获,我们在科来网络分析系统的"概要统计"中可以发现2个问题:
65-127字节的小包太多,占77.765%;
TCP同步数据包太多,占71.111%;
2、在科来网络分析系统的"协议"视图中,我们可以看到CIFS协议的数据把怕占了75.963%,这说明这个协议通讯肯定是异常的;
3、我们打开具体的CIFS协议的通讯的"数据包"视图,发现存在大量的大小为66字节、目的地址随机、目标端口为445的单向通讯,而且,1秒之内发了很多的数据包,通过这一特征,我们可以判断应该是冲击波、震荡波的攻击数据包;
4、震荡波病毒的感染原理:
震荡波病毒会开辟128个扫描线程,以本地IP地址为基础,取随机IP地址,疯狂的试探连接445端口,试图利用windows的LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播;
5、异常的机器IP:
|
很可能感染震荡波/ 冲击波蠕虫的异常IP |
192.168.10.26/192.168.30.70/192.168.30.242/192.168.60.10 |
6、解决方法:
定位主机后,使用冲击波/震荡波专杀工具查杀蠕虫病毒,然后,将更新主机补丁至最新即可有效解决这个问题。
上一页 [1] [2] [3] [4] [5] [6] 下一页
【责编:Zenghui】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
佚名 
2008-5-22 
