NetInside网络攻击分析帮您轻松发现可疑主机

最新推荐文章于 2024-06-03 14:42:31 发布
最新推荐文章于 2024-06-03 14:42:31 发布
阅读量697 收藏
点赞数
分类专栏: 网络攻击分析 性能分析 文章标签: 网络 服务器 运维 性能优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NetInside_/article/details/128443903
版权

分析概要

分析概要从以下三点做介绍。

分析内容

NetInside网络流量分析设备采集的流量。

分析时间

报告分析时间范围为:2020-09-28 07:58:00-11:58:00,时长共计3小时。

分析目的

本报告主要分析目的:查找和定位存在可疑现象的主机、查看可疑主机的MAC、给出解决方案和建议。

分析结果

以下分别从可疑主机列表和对应MAC地址列表进行介绍。

可疑主机列表

以下主机存在可疑行为(共39台机器)。

异常判断标准:3小时内向网络中发送失败数超过10万个的主机。

可疑主机对应MAC列表

以下是10网段存在异常主机及对应MAC列表(共17台机器)。

以下是192.168网段存在可疑主机及对应MAC列表(共22台机器)。

 分析过程

以下分别从趋势图和数据包进行分析。

趋势图分析

以10.201.8.6为例做详细分析。该主机每分钟向网络中发生超过3000个失败连接请求,下图为主机10.201.8.6失败连接请求分布趋势图。

数据包分析

以10.201.8.6为例,进一步详细分析。通过从分析系统进一步分析,该主机大量向外其他主机445端口发生连接请求,说明该主机可能感染病毒。

方法和建议

以下分别给出解决方法和参考建议。

根据MAC定位和限制

查看可疑主机MAC的方法,以10.201.8.6为例。打开数据包,点击任意一行,在Ethernet层,即可看到源MAC。

跟踪进程

进入存在问题的主机,使用命令netstat –anb,查看与外部地址445端口连接的进程,确认并进行相应操作。

全面查杀

系统查杀该主机病毒,建议使用杀毒软件,对异常主机全面查杀。

NetInside_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
防止网络攻击的10大网络安全措施
tigerman20201的博客
03-02 5367
网络攻击每天都在发生。事实上,每天有超2000次的攻击是针对连接了互联网且未受保护的系统,大概每39s就会发生一次。网络攻击导致的数据泄露、敏感信息被盗、财务损失、声誉受损都给企业及个人带来威胁。随着各大企业对数字系统的依赖,网络威胁已成为当下面临的主要挑战。 实现IT基础架构安全的4个层面 安全团队使用多种策略来保护企业设备和系统免受物理和数字威胁,通常会通过4个层面的管理来保障IT基础架构安全: 1、数据 企业拥有的数据越多,就越难保护,因为需要关注的端点就越多。企业端点网络安全工具
网络安全--Windows入侵排查
songbai220
12-12 841
Windows入侵排查 Windows入侵排查思路 1、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放 检查方法:根据实际情况咨询相关服务器管理员,或者授权爆破 2、查看服务器是狗存在可疑、新增账号 检查方法:cmd输入lusrmgr.msc,查看是否有新增、可以账号,如有管理员群组的(administrators)里的新增账户,立即禁用或者删除 3、查看服务器是否存在隐藏账号、克隆账号 检查方法:1、打开注册表,查看管理员对应键值 2、使用D盾Web查杀攻击
基于HTTP协议报文分析的计算机网络取证研究
01-26
针对目前我国网络用户不断增长,并且网络中出现的攻击现象不断增多,导致网络中用户的信息出现一系列的安全问题。为了能够有效保证网络用户的操作能够得到有效的监管,本文通过创建基于HTTP协议报文分析的计算机网络取证系统,对网络用户的电子邮件、日志文件、即时通信软件进行提取和分析,从而手机电子数据证据,重新构建犯罪现场,为诉讼案件提供真实可靠的信息及证据。最后对基于HTTP协议报文分析的计算机网络取证系统进行了模型实验分析,通过实验表示,系统能够将可疑入侵的日志进行提取,达到预期目的。
化学定量分析中的误差及可疑数据处理.pdf
08-15
#资源达人分享计划#
了解网络攻击:类型、策略和技术
网络研究观
04-21 9857
了解不同类型的网络攻击,以及网络罪犯使用的策略和技术,对于保护您的个人和企业数据免受这些威胁至关重要。
网络攻击技术
weixin_45629738的博客
06-05 9516
一、网络攻击概述 1. 网络攻击的目标: 网络攻击的目标主要有系统和数据两类,其所对应的安全性也涉及系统安全和数据安全两个方面。 系统型攻击的特点:攻击发生在网络层,破坏系统的可用性,使系统不能正常工作。可 能留下明显的攻击痕迹,用户会发现系统不能工作。 数据型攻击的特点:发生在网络的应用层,面向信息,主要目的是篡改和偷取信息,不 会留下明显的痕迹。 ...
基于Wireshark的ARP欺骗分析发现技术
04-16
ARP欺骗是攻击者通过将假的ARP数据包发送到局域网中,...隐蔽性强,再结合网络分析软件Wireshark捕获通信数据包,经过对数据包分析可以发现实施ARP欺骗的过程和可疑主机,进一步给出对实施ARP欺骗主机的准确检测方法。
SQL Server 置疑、可疑、正在恢复等情况分析
09-11
有些时候当你重启了数据库服务,会发现有些数据库变成了正在恢复、置疑、可疑等情况,这个时候DBA就会很紧张了,下面是一些在实践中得到证明的方法
知攻善防靶机应急响应web2
来而不往非礼也
05-09 494
在本次靶机中通过查看web日志和ftp日志找到了一个恶意ip对目标主机进行扫描,通过d盾对网站根目录进行扫描发现后门shell,根据shell文件的文件名同步反查文件名,找到了失陷时间,观察到了用户连接ip。利用系统注册表可以查到隐藏的用户名后这个就可以利用windouws系统日志按照敏感事件id去反查。
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 020-网络安全应急技术与实践(主机层-主机日志分析
热门推荐
时光隧道
02-13 3万+
主机日志分析是指对主机产生的日志进行收集、解析和分析的过程。主机日志包含了主机运行时产生的各种事件和信息,如操作系统启动和停止、服务启动和停止、进程创建和终止、网络连接和断开等。通过对主机日志进行分析,可以识别异常事件和行为,及时发现系统故障和安全威胁,并采取相应的措施处理。步骤描述1收集日志:通过配置日志收集器或代理,将主机上的日志数据发送到集中的日志存储或分析平台。2解析日志:对收集到的日志数据进行解析,将其转化为结构化的数据格式,方便后续的分析和查询。3。
家用路由器被劫持?如何正确的分析与应对
cpongo011702
02-28 986
2019年2月20日,DNSPod发布一则通知,称监控到有大规模的黑产攻击事件发生,导致被攻击的用户在访问所有网络服务时DNS解析被调度到江苏电信或周边线路。为何会出现如此现象?是因为用户使用了病毒的DNS进行解析,病毒DNS再递归给114.114.114.114或者其他公共DNS。此时,公共DNS会认为用户就来自病毒DNS所在的网段。如果病毒DNS所在电信网络,那么公共DNS就会优先输出电信的C...
10种防止网络攻击的方法
可爱的小狼的博客
12-25 1万+
10种防止网络攻击的方法 随着威胁形势的不断发展,建立全面的网络安全解决方案需要外围安全性和主动的网内防御 。随着网络攻击的范围,规模和频率不断增加,网络卫生正变得越来越重要。与个人卫生相似,网络卫生是指旨在助维护系统整体健康小型实践和习惯。通过养成良好的网络卫生习惯,您可以减少整体漏洞,使自己不易受到许多最常见的网络安全威胁的影响。这很重要,因为无论是作为个人还是组织的代表,用户最终都要承担一...
TPM 是什么?如何查看电脑的 TPM?
qq_57728300的博客
06-03 1216
或许还有人不知道什么是 TPM,本文带大家了解 TPM 是什么以及如何查看电脑的 TPM。
Java网络编程(上)
qq_34471880的博客
06-01 922
数据在网络的传输, 局域网的概念, 广域网的概念, 网络协议, TCP五层模型, 网络封装 网络分用
网络编程(一)
xuezhe_____的博客
06-03 785
网络的分层模型和每层所使用的协议的集合。
EtherCAT 和 UDP 通讯的实时性 区别
最新发布
eydj2008的专栏
06-03 359
EtherCAT 使用主从架构,并采用“加工转发”(Processing on the Fly)技术,即数据帧在通过每个从站时被读取或写入,无需存储和重新传输,大大减少了通信延迟。UDP的设计初衷是为了提供快速、低开销的数据传输,适用于那些能够容忍一定数据丢失或不需要可靠传输的应用场景,如音视频流、在线游戏等。虽然UDP本身不提供实时保证,但在某些实时性要求较高的应用中,通过适当的软件设计和网络配置,UDP可以被用于构建实时通信系统。
计算机网络 第一章 计算机网络体系结构
2401_84080967的博客
05-30 950
网络由加上组成,其实准确来说,对于网络还应该加上。其中所谓的节点可以是计算机、路由器、集线器或是路由器,链路是节点之间的连接线路,可以是无线也可以是有线。这就是网络,当使用路由器之后,我们就可以将多个网络连接在一起形成所谓的,也就是网络网络。同时需要注意以下两个名词的表达,小写的internet和大小的Internet,小写的就是泛指多个计算机网络相互连接成为计算机网络,而大写的表示为当经全球最大的特定的计算机网络,采用TCP/IP协议族作为通信协议。
网络上安全中怎样判断入侵和攻击分析追踪
04-22
网络上安全中,判断入侵和攻击可以通过入侵检测系统(IDS)和入侵防御系统(IPS)来实现。IDS会对网络流量进行分析,判断是否有可疑的行为,并生成警报报告。IPS拥有类似的功能,但可以主动对可疑流量进行拦截和阻止攻击行为。此外,攻击分析追踪可以跟踪攻击者的IP地址、攻击方式等信息,有助于更好的了解攻击者的手段和目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值