网吧又掉线，请求帮助。（出现大量HTTP附工程文件）

allmoxie

今天早上又掉线了，真实多灾难呀

1、  问题描述
　　 今天早上突然掉线，（PING192.168.1.1有90%掉包）在科来中看到很多相同的包。
       信源：00:01:6c:f0:93:6c（对应客户机IP：192.168.1.36）
       信宿：00:0f:7a:09:03:d2（对应网关IP：192.168.1.1）
       当时没注意到36号机。看起来像是攻击。但是利用率只有11.141% 。路由应该能够承受
       请大伙帮我看一下
2、  网络拓扑结构
　　 因特网—路由器—总交换机—分总交换机---工作站。

3、  网络关键设备/节点/服务器信息
　　 网关 192.168.1.1（192.168.0.1）     00:0f:7a:09:03:d2
       科来分析机器 192.168.1.3      00:e0:4c:5d:cd:d7
       游戏更新服务器   192.168.1.6/192.168.0.6
       遥志服务器   192.168.1.2
       　
4、  使用的分析软件，及分析软件的安装位置，并将捕获的数据包上传到论坛。
       科来安装路径：F:\Program Files\Colasoft Capsa 6.2 CCE

5、  工程文件

ilike

初始化tcp连接和成功建立的tcp连接比例是不是严重失调了？有人在扫描吧？

菜鸟人飞

从数据包来看，网络遭受外部攻击的可能性比较大，而攻击源很可能是211.147.225.220。
该机器的80端口在不断向其它地址发起请求。

下图是网络中的矩阵信息，从中可以看出211.147.225.220与太多的主机进行了连接。


定位211.147.225.220，查看其会话信息，发现连接的发起端都是211.147.225.220，且目标端地址随机，借此推断，211.147.225.220可能在进行攻击，其攻击的端口是80。甚至可能是211.147.225.220主机被其它人攻击，从而使211.147.225.220成为跳板在攻击。


楼主可试着在路由器上禁止211.147.225.220的双向访问，再看下网络的效果。

hz123

看样子是遭到攻击了啊