帮忙分析科来网络分析抓的包

katewzs

各位大虾:这是三分钟内抓的包,10.46.255.28这台机器为什么有那么多的"TCP重复的连接尝试"      
严重程度          协议层                      事件                               源                     源端口           目标                     目标端口                  数据包            
警告            
Transport Layer          TCP重复的连接尝试(请看数据包 36892)          10.46.255.28          3775          10.46.130.147          microsoft-ds          37291
是病毒包吧?我很怀疑.请指教

菜青虫

原帖由 katewzs 于 2006-8-22 11:02 发表
各位大虾:这是三分钟内抓的包,10.46.255.28这台机器为什么有那么多的"TCP重复的连接尝试"      
严重程度          协议层                      事件                               源              ...

10.46.255.28这台主机很有问题，可以再结合其他视图察看！

查看概要视图，发现有大量的同步数据包，如图1。
（图1  概要）

在端点视图中，我们也可以看到10.46.255.28起的网络连接很多，发送数据包和接受数据包差异太大，如图2。
（图2  端点）

看看TCP会话，如图3。
（图3  TCP会话）

再来看看矩阵视图，基本上都是连接10.46.0.0这个网段（具体说应该是在扫描该网段的所有主机），如图4。
（图4  矩阵）

我们定位主机10.46.255.28，再来查看数据包视图，全是10.46.255.28想同目标主机445端口发起同步连接，如图5。
（图5  数据包）


原因分析：
可能的原因是感染病毒，由病毒引起的自动扫描攻击，扫描的端口是455端口（CIFS扫描）。
我们可以看到有的扫描请求非常的频繁，这将严重占用网络带宽，并使用网络设备忙于处理非法请求，严重影响的设备的处理性能，这也可能造成网络变慢的现象。

[ 本帖最后由 菜青虫 于 2006-8-22 13:55 编辑 ]

katewzs

非常感谢,你分析的很到位.我已经查到这台机器有木马病毒.谢谢你教我分析问题的方法 .

artico

发送的频率是很高的。不过数据都不大，，目的应该不是为了占用带宽。cifs是文件共享服务,所以此目的应该是找cifs服务器进行病毒扩散.
当然会影响到设备的效率..
版主分析的好...

不知道LZ中的是什么木马?中了木马网络或者主机有什么反应..前面好象没提到!!

wwwang

版主分析的高,当初我我看到这个数据包的时候只是知道10.46.255.28这台主机在扫描(共享文件),我对CIFS这个协议不清楚，不知在sniffer里面它是什么协议？我在sniffer过滤器里没有发现这个协议！

Roy

CIFS (Common Internet File System ) 是 SMB (Server Message Block) 的变体，你看看sniffer里是否识别为SMB

katewzs

原帖由 Roy 于 2006-8-23 15:43 发表
CIFS (Common Internet File System ) 是 SMB (Server Message Block) 的变体，你看看sniffer里是否识别为SMB

哦,我已经将那台机器断网了,他不断攻击我们网内机器,不敢让他上..我以前看见过SMB,但不太清楚怎么回事,真没法判断什么时候是正常的,什么时候不正常,郁闷!!

fadu

又学了点东西 每天都在进步

wwwang

谢谢ROY!我又学到一点东西!

Roy

原帖由 katewzs 于 2006-8-23 16:05 发表

哦,我已经将那台机器断网了,他不断攻击我们网内机器,不敢让他上..我以前看见过SMB,但不太清楚怎么回事,真没法判断什么时候是正常的,什么时候不正常,郁闷!!

我个人对SMB不是很精通，公司是其他同事在做这个协议的解码分析
我所能知道的是在网络分析中通讯模式分析是很重要的，不同的协议，不同的应用会有不同的通讯模式
有些时候相同的协议在不同的企业应用也会出现不同的通讯模式
要把网络分析应用好，首先要精通企业网络承载的网络应用，了解他们的特性，使用什么协议，这些协议的通讯特性
通过长期积累，建立好基准线，就很容易判断什么时候是正常的,什么时候不正常了。
慢慢来，我也是在学习中，其实网络分析是很有意思的。

artico

RE：ROY
通讯模式？  具体指的是什么东西？有点抽象的感觉。。

Roy

通讯模式就是Pattern Analysis
比如最近讨论比较多的ARP协议
它的正常通讯模式应该是
请求 -> 应答 -> 请求 -> 应答
也就是应该一问一答。

如果你观察ARP协议的通讯模式是下面的情况，那么是否有问题呢？
请求 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答

又或者我们看到ARP是下面的通讯模式，又是什么问题呢？
请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 请求

又或者这样呢？
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答

我们先不做结论，可以对上面三个情况一起讨论讨论。

ghostorc

ARP请求风暴
ARP应答风暴

1、过多的ARP请求或应答包，将有可能造成网络阻塞!
2、ARP欺骗。。。
向ROY版学习!

菜青虫

原帖由 Roy 于 2006-8-24 11:00 发表
通讯模式就是Pattern Analysis
比如最近讨论比较多的ARP协议
它的正常通讯模式应该是
请求 -> 应答 -> 请求 -> 应答
也就是应该一问一答。

如果你观察ARP协议的通讯模式是下面的情况，那么是否有 ...

个人认为：

如果你观察ARP协议的通讯模式是下面的情况，那么是否有问题呢？
请求 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答

相对ARP的正常通讯模式，多了很多应答，这种情况，应该是“太多无请求请求应答”吧；

又或者我们看到ARP是下面的通讯模式，又是什么问题呢？
请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 请求

这个又相对正常通讯模式，多了很多请求，ARP请求是广播，应该就是传说中的ARP扫描吧，欺骗的前奏活动；

又或者这样呢？
应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答

最后一种，太多应答包了，应该是主动去告诉某个主机，它是XX，进而欺骗活动！

总之，三种情况应该都异常的情况，我们在分析网络的时候，查看协议分布，有时也可以快速的得到结果。比如在协议分布，我们可以看到使用哪些协议，某些特定的协议代表某些特定的服务，也可以查看某些协议的流量等，比如ARP REQUEST和ARP RESPONSE之间的差异，等等

[ 本帖最后由 菜青虫 于 2006-8-24 13:50 编辑 ]

artico

个人观点：
1、请求 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答

网络存在侦听类程序，象有网络管理软件，具体不清楚

2、请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 请求

主动扫描，比如病毒

3、应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答

主动欺骗攻击，比如ARP欺骗

欢迎大家指出不足并讨论！！！

Roy

楼上几位的分析都不错
我的观点基本和artico兄的分析相同

对于第一种：
1、请求 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答
观察两个应答的内容，如果相同，有可能是网络镜像之类造成的某个端口重复发包
如果应答的内容存在冲突，有可能存在网络欺诈程序

2、请求 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 应答 -> 请求 -> 请求 -> 请求 -> 请求
ARP扫描可能性比较大，不过也要考虑如果我们只镜像了交换机上的部分窗口，且请求是来自不同的非镜像口连接的机器，有可能也会出现这种模式

3、应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答 -> 应答 -> 应答 -> 请求 -> 应答
ARP欺骗以及ARP拒绝服务攻击可能性很大


菜版最后提出的方法也非常好， 类似ARP这样一问一答通讯模式的协议，我们可以通过协议统计中的数据快速判断异常通讯情况
比如ARP Request和Response严重不成比例，那肯定是有问题的。

fadu

好 又学到了点东东！

katewzs

分析的好呀,解决了我一直以来的疑惑.向各位大虾们努力学习!!