文章预览
转载于先知社区,原文地址:https://xz.aliyun.com/t/15335 一、流量分析 (一)、排查攻击者IP地址 步骤一:协议分级统计 在协议分级统计中可以看到,应用层中涉及的协议主要是HTTP协议,可以初步判断该攻击事件为Web攻击事件 步骤二:会话统计 这里查看IPV4流量的统计信息,可以看到在该流量包中主要是192.168.78.142和192.168.78.1之间的通信流量占绝大部分,其次是192.168.78.142和192.168.78.134,最后是192.168.78.142和192.168.78.2,可以初步怀疑192.168.78.1、192.168.78.134、192.168.78.2这三个其中一个两个甚至三个攻击者的ip. 怀疑的ip 192.168.78.1 192.168.78.134 192.168.78.2 从535数据包开始,攻击者就开始对服务器端口扫描,193656才结束 最后扫描出开放了web端口27689 步骤三:流量筛选分析 已知攻击事件为Web攻击,可以在WireShark的显示过滤器中过滤HTTP流量。 http 根据上面的信息,
………………………………
