1. 环境及现象简介
用户的网络是一个IDC网络环境,包括局域网和Internet接入,其中Internet接入为两条千兆以太网接入,内部局域网多是游戏网站寄放的游戏服务器主机。网络拓扑如下:
2. 找出产生网络流量最大的主机
我们同样利用Sniffer的Host Table功能,将该IDC所有计算机通过Internet出口的网络流量按照发出数据包的包数多少进行排序,结果如下图。
我们从上图,Sniffer的host table中可以看到IP地址为210.51.8.89的主机发出了15146个数据包,远远超过其他的网络主机。
从上图中我们可以看到,该主机发出的数据包占所有主机发出的数据包总数的79.39,网络中绝大多数的数据包竟然是这一台主机发出的,对于一个IDC来讲,这是非常异常的现象。
3. 分析这台主机的网络流量
首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。
我们通过上图可以看到,这台主机发包的目标主机只有一个,就是IP地址为209.198.152.200的主机。同过Sniffer的Decode功能,我们分析该主机发出的数据包内容。
从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS数据包,但是是不完整的数据包,同时其发包的时间间隔极短,每秒钟发包数量在100,000个数据包以上,这是种典型的网络攻击行为,初步判断为黑客首先攻击寄存在IDC的网络主机,在取得其控制权后利用这台主机向目标主机发起拒绝服务(DOS)攻击,由于该主机性能很高,同时IDC的网络性能很高,造成这种攻击的危害性极大。
更多内容请看DoS 拒绝服务攻击专题、Sniffer安全技术专题、脚本攻击和防范专题,或进入讨论组讨论。
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
相关专题
- DoS 拒绝服务攻击专题 (1226篇文章)
- Sniffer安全技术专题 (255篇文章)
- 脚本攻击和防范 (2370篇文章)
- DDoS攻击防御与分析 (1493篇文章)
- ARP攻击防范与解决方案 (1714篇文章)
- Sniffer工具攻防实战 (28篇文章)
- Sniffer技术研究 (27篇文章)
- ARP防范软件 (136篇文章)
- Sniffer使用简介(上) (14016次浏览)
- ARP协议的缺陷及ARP欺骗的防范 (11185次浏览)
- IP路由协议配置 (7142次浏览)
- sniffer技术原理及应用,包括编程方法和工具 (6416次浏览)
- Sniffer使用简介(下) (6060次浏览)
- 什么是 ATM 技术,它有什么用途? (5809次浏览)
- Telnet高级入侵攻略 (5428次浏览)
- 使用Ethereal学习TCP/IP协议 (5064次浏览)
- Sniffer--会“抓毒”的网络分析仪 (4357次浏览)
- 新手学堂:解析Ftp协议的两种工作模式 (4129次浏览)
