本机icmp抓包,找出恶意IP和网内中毒主机

已于 2023-12-18 20:18:15 修改
阅读量467 收藏 9
点赞数 10
分类专栏: 安全 文章标签: 网络安全 防火墙 抓包
于 2023-12-18 19:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiecy/article/details/135069701
版权

        因为上级一直有个通告,单位的防火墙策略和APT都没办法找出来一个中毒的木马主机,今天在测试一个网络发包软件时,用wireshark抓了一下自己的icmp包,一看,有不少外网IP的icmp包,微步上查了一下,多数都是恶意IP,于是放进防火墙里。再根据行为日志的查找,找出和恶意IP进行通信的主机,进行了查杀。

        由此可见,僵尸木马和病毒在进入主机运行后,会横向局域网内的其它设备,有的是通过ping相同网段进行横向的。通过这个特点,也可以抓出部分中毒主机。还有一些病毒,是通过不停发出arp广播包,来探测局域网内的其它设备的,也可以通过这个方法进行粗略的判别,不过 过滤协议要改为arp。

        另外,防火墙上,对恶意IP,一定要配置入方向和出方向的双向阻止策略,这样才可以用这个方法来检测。

jiecy
关注
  • 10
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Wireshark抓包排查网络故障和分析TCP/IP协议
weixin_40532625的博客
11-13 3763
https://blog.csdn.net/taotongning/article/details/81352985 OSI七层协议 tcp 可靠传输 当数据需要分段传输时需要用 udp 不可靠传输 当数据不需要分段时传输 传输层协议+端口 判断 应用层协议 OPC DA = tcp+135 focas = tcp+8192 ...
怎么查找那台电脑中了ARP病毒
digitalkee的博客
04-15 2550
工具/材料: 腾讯电脑管家 ARP病毒想必大家都听说过,这种病毒一般是会在局域网内进行传播的,一旦局域网内有一台电脑中了这种ARP病毒,那么就会自动向外发送ARP欺骗攻击,导致局域网内的其他人的电脑都会自动开始掉线,但一般局域网内有很多台电脑,比如学校、公司等,想查找那一台电脑中毒非常困难 【查找那台电脑中了病毒】 1, 想要杀毒,那么肯定就要先锁定是那台电脑中了病毒,那么面对如此多的电脑...
WireShark发现局域网中的ARP病毒
weixin_34203832的博客
06-24 1108
WireShark发现局域网中的ARP病毒ARP(Address Resolution Protocol)是TCP/IP协议中用来解析网络节点地址的底层协议。网络中流传的ARP病毒或恶意软件利用ARP机制进行地址欺骗。最常见的ARP问题可以分为如下三种类型:1) 网关或服务器IP欺骗:利用ARP机制,冒用局域网中的网关或其他服务器IP地址,把正常应该传给网关或服务器的数据流引...
局域网arp病毒机排查
12-01 2754
最近局域网内arp病毒肆虐,只要一打开抓包工具,满屏都是arp包。就想查一下,看看哪些电脑中毒了。试了一下金山防火墙,发现这个东东和很多它的同类产品一样,只能在有网关的网络内有效,而对于我们这样不用网关的网络,就算网内arp流量大上天去,它也无动于衷,根本无法用于我们的中毒机器排查。在网上找了一下,发现国外一个共享软件XArp比较有用,它是一个专业的Arp攻击检测软件,可以不同的策略对局域网内
如何用抓包工具把电脑病毒揪出来
冷血书生的专栏
06-14 3405
下面我根据网络病毒都有扫描网络地址的特点,给大家介绍一个很实用的方法:用抓包工具寻找病毒源。    你是网络管理员吗?你是不是有过这样的经历:在某一天的早上你突然发现网络性能急剧下降,网络服务不能正常提供,服务器访问速度极慢甚至不能访问,网络交换机端口指示灯疯狂地闪烁、网络出口处的路由器已经处于满负荷的工作状态、路由器CPU已经到了百分之百的负荷……重启动后没有几分钟现象又重新出现了。   这
网络安全---ICMP报文分析】Wireshark教程----Wireshark 分析ICMP报文数据试验
m0_67844671的博客
09-29 2765
【超详细】Wireshark教程----超详细的Wireshark 分析ICMP报文数据,通过搭建试验环境,抓夹两个主机之间ICMP数据,剖析ICMP协议来通信是如何实现的。主要内容包括试验环境搭建,更改网路配置,通过子网掩码判断目标主机是否跟自己处于一个网段,ARP广播等等
2个Ip抓包工具(UDP/RTP)
04-10
1.MiniSniffer.exe仿造commview进行抓包,统计ARP,ICMP,TCP,UDP(含UDP-RTP),双击列表可以打开“详情”,观看每一个包内容;wireshark和commView更专业和强大,但容易看花。广电,用本软件抓包更方便。支持包过滤...
网络使用ICMP发现局域网内活动主机实用.pdf
02-08
网络使用ICMP发现局域网内活动主机实用 ICMP(Internet Control Message Protocol,互联网控制报文协议)是一种无连接协议,主要用于在IP网络中发送错误报告和诊断信息。ICMP报文可以分为两种类型:查询报文和差错...
cPP.rar_icmp 发现主机
09-20
ICMP是TCP/IP协议族的一部分,主要用于在IP层传输错误报告和控制信息。在这个场景下,我们讨论的是如何通过发送ICMP报文,特别是ICMP Echo Request(也称为ping请求),来识别网络中哪些主机是活跃的。 描述中提到...
网络抓包和发包工具
04-29
在IT行业中,网络抓包和发包工具是网络调试、故障排查及安全分析的重要利器。它们可以帮助我们深入了解网络通信的细节,确保数据的正确传输,查找潜在问题,并进行性能优化。下面将详细介绍这两个概念以及相关的工具...
Wireshark抓包处理网络故障
04-01
Wireshark抓包处理网络故障
定位内网中毒主机IP经历小记
weixin_30266829的博客
06-18 801
一、事件起因 客户向公司反映使用IDS设备捕获到木马上线域名需要处理,虽然是逆向岗但还是有预感未来应急响应的工作只会越来越多。所以作为新人的我选择了跟带头BOSS去现场学习,并且将自己参与应急响应中的工作和思路进行记录。 二、前置知识 1)动态域名解析 用户每一次上网时运营商都会随机分配一个IP地址。安装在用户主机里的动态域名软件会把这个IP地址发送到动态域名解析服务器。Interne...
反病毒工具-Wireshark
KD的疯狂实验室
06-16 1154
WireShark简介 Wireshark是最流行的开源网络嗅探器之一,能在多种平台上抓取和分析......反病毒工程师通常
widow10系统查找局域网网络计算机,win10查看局域网电脑的方法_win10怎么查看局域网内的其他电脑...
weixin_39753616的博客
06-20 1393
在工作中,为了方便通常会在局域网中设置共享,这样就可以互相访问,但是有win10系统用户想要查看局域网内电脑,却不知道要怎么查看,为此本教程就给大家讲解一下win10查看局域网电脑的方法吧。步骤一:开启server服务1、按键盘上的组合键win+r或者直接点击搜索,在框框里面输入services.msc回车;2、在弹出的服务管理界面里面,我们看右边的窗口,这里有五列(分别为名称、描述、状态、启动...
攻防战略 ICMP常见攻击及防范措施
无限深蓝的专栏
04-06 8342
懂得网络的人都知道我们常用Ping命令来检查网络是否畅通的一个简单的手段,可是这个Ping也能给Windows系统带来不可预测的灾难,那就是Ping入侵即是ICMP入侵,后果是相当严重的。所以这里我们要详细讨论一下ICMP攻击方法及防范措施。  ICMP攻击及欺骗技术  所谓:“知己知彼,百战不怠”,要学会防范就必须知道攻击是怎样的。使用ICMP攻击的原理实际上就是通过Ping大量的数据包
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8350
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
【创新未发表】Matlab实现白冠鸡优化算法COOT-Kmean-Transformer-LSTM负荷预测算法研究.rar
最新发布
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
利用ICMP探测网络活跃主机的课程设计实践
本项目是关于计算机网络课程设计的一项任务,其核心目标是利用Internet Control Message Protocol (ICMP) 的回送请求和响应机制来检测网络中的活动主机。设计的主要内容是编写一个名为`scanhost`的程序,该程序接收...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值