各位达人,好!
如下图,所有包中只有ACK包.请帮忙分析一下.谢谢!!

个人认为，是dell服务器10.1.1.6提供smtp服务，但该服务器中毒或给黑客攻陷了，然后不断向cisco设备163.29.28.12发出ack攻击，部分cisco设备的确是存在tcp－ack漏洞的。
但这台cisco设备应该无此漏洞，因为从捕获的包看，该cisco设备并未针对dell服务器发起的ack攻击作出任何反应，比如发出rst包断开连接，cisco设备应该直接在接收报文的端口线速丢弃这些包了。
又或者这台cisco设备根本不是目标，只是负责转发而已这些ack攻击包而已。

[ 本帖最后由 gwdwx 于 2008-5-31 13:02 编辑 ]

似乎是过滤掉了过多有用的信息, 所以总体感觉是一个正常通讯的单向截获的结果.

没有提供捕获位置与拓扑的内容, 所以不好判断这个本地路由的情况是否非法. 如果是在cisco上作了防火墙和Dell服务器对应端口的SPAN,那么这个本地路由的报警也不是很关键.

根据目标IP和防火墙MAC都是台湾台北来看, 这个IP地址信息也都是真实的, 并非发动攻击伪造所致.  Cisco设备的地址在这段通讯里并没有体现,相信163.29.28.12是一台远端的机器通过NAT连接到内网的 10.1.1.6这个邮件服务器.

总之,就提供的数据而言,看上去是正常的.

引用:

原帖由 Vader 于 2008-5-31 14:04 发表
似乎是过滤掉了过多有用的信息, 所以总体感觉是一个正常通讯的单向截获的结果.

没有提供捕获位置与拓扑的内容, 所以不好判断这个本地路由的情况是否非法. 如果是在cisco上作了防火墙和Dell服务器对应端口的SPAN,那 ...

才留意时间是跳跃式非连续的，受教受教
另外，这mac地址差归属地怎么查？网上有得查吗？能否给个网址？google好像没找到，只知道ip可以查归属地。。。

[ 本帖最后由 gwdwx 于 2008-5-31 14:30 编辑 ]

mac地址没有归属地的概念，只是这个MAC是属于LANNER Electrionics这家公司制造产品序列，查看这家公司，可以看到是一个台湾的公司主要生产嵌入式设备和安全、存储平台。