一个学校发现其中有ARP欺骗,冲击波病毒,蠕虫王病毒,需要处理.
处理过程:
在核心交换机上配置端口镜像分别抓各个网段的数据包,(分别抓各个网段的数据包的目的是减小核心交换机压力,也方便缩小分析量)
1.ARP欺骗
使用下列过滤法则:
arp.opcode==1 or arp.opcode==2
发现ARP欺骗包后,以其MAC为过滤条件即:
eth.scr ==.....
分析其相关IP信息,找到具体用户.如果用户修改了IP和MAC地址就只有一根一根去拔线了!
2.冲击波病毒
分析数据包,使用下列过滤法则:
tcp.port == 135
tcp.port == 139
分析过滤后的数据包,察看发现全是TCP三次握手中的第一个syn包,检查其占总体数据的比率远高于正常水平.
通过IP查找源头!
3.蠕虫王病毒
tcp.port == 1433
分析过滤后的数据包,察看发现全是TCP三次握手中的第一个syn包,检查其占总体数据的比率远高于正常水平.
通过IP查找源头!
4.使用下列过滤法则:
!(tcp.port ==5900 or tcp.port ==135 or tcp.port==139)
先保存过滤后的数据包,再分析.
发现:
tcp.port == 5900占用的数据比率也比较高
VNC TCP port: 5900) 5900/tcp open vnc VNC (protocol 3.8)
追踪相关IP!
由于其教室中的PC都是有硬件还原卡的,而它PC也是管理较为混乱.于是决定决定在核心交换机上添加访问列表. |
发表于 2009-10-28 10:32:57