前言
某港口已部署流量分析系统,在护网攻防期间,使用流量分析系统提供实时和历史原始流量,以供安全取证、应用事务分析、网络质量监测以及深层网络分析。
分析与采集说明
为了便于分析使用,在攻防期间,流量分析系统只对12台靶标主机进行流量分析和数据包保存。
流量分布
以下是今日流量分布视图。其中存在几个明显的高峰现象。具体内容将会在异常分析中进行分析。
网络中出现的端口
以下是今天网络中出现的,跟靶机相关的网络端口信息统计和分析。
网络中出现了18个端口为服务的流量传输,这18个端口分别为:
名称 | 数据包个数(总和)[个] |
49395-TCP | 530843 |
MS-WBT-SRV-UDP(3389) | 423533 |
45936-TCP | 273635 |
oracleas-https-tcp(7443) | 267350 |
49272-TCP | 259799 |
HTTPS | 63690 |
13003-TCP | 59599 |
NETBIOS-NS-UDP(137) | 31681 |
MS-WBT-SRV-TCP(3389) | 27069 |
49396-TCP | 24500 |
cslistener-tcp(9000) | 20889 |
MICROSOFT-DS(445) | 18068 |
ALT-HTTP(9000) | 6634 |
13201-TCP | 6192 |
13000-TCP | 3319 |
61616-TCP | 1644 |
13004-TCP | 608 |
xmpp(5280) | 11 |
端口是网络访问和数据传输的基本因素之一,建议重点关注未知端口流量信息。
异常分析
Web访问
运行期间有一个小的高峰,分析发现是xxx.xxx.xxx.3和靶标地址xxx.xxx.xxx.1之间,有如下这样一个访问地址
境外IP活动
发现境外IP地址xxx.xxx.xxx.193和靶机之间存在流量传输行为
境外IP地址和如下靶机有传输
具体分析了境外IP和靶机xxx.xxx.xxx.2的传输,xxx.xxx.xxx.2做的ping的回复行为
3389远程桌面流量
xxx.xxx.xxx.20和xxx.xxx.xxx.8、xxx.xxx.xxx.9之间通过3389端口有比较大的流量传输
结论
经过用户排查确认,以上怀疑的异常点属于正常通信。