记一次蓝队入侵检测-包括流量分析-主机入侵排查

文章预览

免责声明 本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号团队不为此承担任何责任。 文章正文 一、流量分析 （一）、排查攻击者IP地址 步骤一：协议分级统计 在协议分级统计中可以看到，应用层中涉及的协议主要是HTTP协议，可以初步判断该攻击事件为Web攻击事件 步骤二：会话统计 这里查看IPV4流量的统计信息，可以看到在该流量包中主要是192.168.78.142和192.168.78.1之间的通信流量占绝大部分，其次是192.168.78.142和192.168.78.134，最后是192.168.78.142和192.168.78.2，可以初步怀疑192.168.78.1、192.168.78.134、192.168.78.2这三个其中一个两个甚至三个攻击者的ip. 怀疑的ip 192.168.78.1  192.168.78.134 192.168.78.2 从535数据包开始，攻击者就开始对服务器端口扫描，193656才结束 最后扫描出 ………………………………