网络分析专家论坛 netexpert » OmniPeek专题 » [求助]如何找到攻击者？

Netexpert FAQ	网络分析专家学习建议入口	@netexpert成员申请指南
网络分析时代	netexpert积分规则的说明	Netis招贤纳士(2008年11月22日更新)

打印

[求助]如何找到攻击者？

ybin1981

初来乍到

Rank: 1

精华: 0
积分: 19

发短消息
加为好友
当前离线

1^# 大中小发表于 2007-4-9 15:17 只看该作者

[求助]如何找到攻击者？

我单位近日有电脑中病毒，偶尔对网络进行DOS攻击，以下是用omnipeek截的图

小弟对omnipeek用的不熟，请各位大哥帮忙找到攻击者的IP地址，谢谢！
见附件

[ 本帖最后由 ybin1981 于 2007-4-11 07:48 编辑 ]

附件: 您所在的用户组无法下载或查看附件

TOP

Ricky

版主

Rank: 7 Rank: 7 Rank: 7

精华: 4
积分: 1449

发短消息
加为好友
当前离线

2^# 大中小发表于 2007-4-9 22:14 只看该作者

只是这样一个图不能说明什么，把Tracefile传上来啊～

其实我是一个演员,如果你非要说我是个跑龙套的,请不要在前面加一个字“死”字~

TOP

ybin1981

初来乍到

Rank: 1

精华: 0
积分: 19

发短消息
加为好友
当前离线

3^# 大中小发表于 2007-4-10 09:29 只看该作者

请Ricky大哥帮忙看看，谢谢！

TOP

xiaotian

本站劳模

Rank: 4

精华: 1
积分: 1091

发短消息
加为好友
当前离线

4^# 大中小发表于 2007-4-10 12:35 只看该作者

文件有问题！打不开

Good good study
Day day up!
努力成为@netexpert.cn

TOP

Ricky

版主

Rank: 7 Rank: 7 Rank: 7

精华: 4
积分: 1449

发短消息
加为好友
当前离线

5^# 大中小发表于 2007-4-10 20:02 只看该作者

对啊，你这tracefile怎么6byte啊？还没一个包大……

其实我是一个演员,如果你非要说我是个跑龙套的,请不要在前面加一个字“死”字~

TOP

ybin1981

初来乍到

Rank: 1

精华: 0
积分: 19

发短消息
加为好友
当前离线

6^# 大中小发表于 2007-4-11 07:50 只看该作者

重新传了一下附件，请各位大哥再帮忙看看

TOP

Ricky

版主

Rank: 7 Rank: 7 Rank: 7

精华: 4
积分: 1449

发短消息
加为好友
当前离线

7^# 大中小发表于 2007-4-11 12:31 只看该作者

96.9%的数据包是64-127字节的，其中大部分是内网地址连接外网80端口的SYN，有病毒嫌疑，可是没有找到明显目标啊，看起来比较乱，那个大侠再看看？

其实我是一个演员,如果你非要说我是个跑龙套的,请不要在前面加一个字“死”字~

TOP

liuwe

劳苦功高

Rank: 3 Rank: 3

精华: 0
积分: 186

发短消息
加为好友
当前离线

8^# 大中小发表于 2007-4-11 13:46 只看该作者

应该是ddos攻击，内部发的syn包攻击特征有些是ttl为63

TOP

jerry9924

红蜻蜓

本站劳模

Rank: 4

精华: 0
积分: 263

发短消息
加为好友
当前离线

9^# 大中小发表于 2007-6-18 10:33 只看该作者

我分析应该是SYN的DOS攻击，而且你的局域网感染程度不小。（从以下两个图可以看出）

192.168.29.99是一个典型，可从它分析入手，用DOS命令（netstat -ano）和任务管理器，看看其对外的连接是否为合法程序产生的。根据分析你的traceFile这此流量应该不是合法流量。找到这个程序，并做近一步处理。