CSNA网络分析论坛»首页 流量分析 网络分析 题目给出网络流量统计信息,要求分析网络中发生的行为 ...
返回列表 发帖
查看: 3220|回复: 7

题目给出网络流量统计信息,要求分析网络中发生的行为

[复制链接]
zxrezx
发表于 2011-10-12 11:32:39 | 显示全部楼层 |阅读模式
1.以下是某个网络的流量统计信息,请从这些信息中分析出网络中发生的行为,并写出此种行为的目的和数据包分布特点。



  数据包大小
  		  字节数
  		  数据包数
  
  < = 64
  		  18.682 KB
  		  
513
  
  65-127
  		  2.457 KB
  		  
32
  
  128-255
  		  4.672 KB
  		  
24
  
  256-511
  		  3.243 KB
  		  
11
  
  512-1023
  		  0.000 KB
  		  
0
  


  协议
  		  数据包数
  		  发送字节
  		  接收字节
  		  包内数据
  
  IGRP
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  SPS
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  PIM
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  SMP
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  IDRP
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  PIPE
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  DDP
  		  3
  		  0.111
  		  0
  		  0.000 KB
  
  ESP
  		  3
  		  0.111
  		  0
  		  
     0.0

  

2.某单位的网络出口流量超出正常范围,管理员通过嗅探统计出以下的结果:(12分)

  数据包大小
  		  字节数
  		  数据包数
  		  利用率
  
  < = 64
  		  5.223 MB
  		  85876
  		  0.553%
  
  65-127
  		  11.234 MB
  		  152043
  		  2.546%
  
  128-255
  		  1.221 MB
  		  7492
  		  0.224%
  
  256-511
  		  354.458 MB
  		  1023
  		  0.312%
  
  512-1023
  		  1.743 MB
  		  2365
  		  0.943%
  
  1024-1517
  		  42.523 MB
  		  34173
  		  1.521%
  
  > = 1518
  		  105.402 MB
  		  74821
  		  14.562%
  


  地址统计
  		  数量
  
  IP地址数
  		  87032
  
  本地IP地址数
  		  9
  
  远程IP地址数
  		  87023
  

注:该单位已经禁止了 p2p软件的下载


  类型统计
  		  数据包数
  
  TCP连接被拒绝
  		  76
  
  TCP重复的连接尝试
  		  63278
  
  TCP重传数据包
  		  7
  
  TCP慢应答
  		  2489
  
  TCP重复的确认
  		  102
  
  ICMP目的不可达
  		  99
  
  ICMP 端口不可达
  		  35
  


从以上三个表格中,你可以得出什么结论? (第一问)


经过进一步诊断,管理员发现单位中有6台计算机有问题。定位到其中一台计算机上( 210.27.8.5 ),统计其数据包,得出以下两个表格:


  协议类型
  		  数据包数量
  		  接收字节
  		  发送字节
  
  Kerberos
  		  143
  		  5.023 KB
  		  20.124 KB
  
  http
  		  8
  		  0 B
  		  399 B
  
  CIFS
  		  45632
  		  0 B
  		  2.875 54MB
  
  NetBIOS
  		  565
  		  0 B
  		  54.102 KB
  
  Echo reply
  		  8
  		  927 B
  		  0 B
  
  Echo request
  		  8
  		  0 B
  		  927 B
  
  Time exceed
  		  5
  		  304 B
  		  0 B
  





  地址
  		  地址
  		  协议
  		  连接持续时间
  
  210.27.8.5:2345
  		  217.90.243.32:445
  		  CIFS
  		  00:00:00
  
  210.27.8.5:5653
  		  45.24.203.45:445
  		  CIFS
  		  00:00:03
  
  210.27.8.5:2436
  		  67.33.81.6:445
  		  CIFS
  		  00:00:00
  
  210.27.8.5:9853
  		  12.87.225.14:445
  		  CIFS
  		  00:00:00
  
  210.27.8.5:3435
  		  117.4.134.5:445
  		  CIFS
  		  00:00:04
  
  210.27.8.5:6234
  		  175.105.32.8:445
  		  CIFS
  		  00:00:08
  
  210.27.8.5:6741
  		  43.152.67.9:445
  		  CIFS
  		  00:00:00
  


单位中的这6台计算机具有基本相同的统计特征,请问这些计算机存在什么问题,他们正在进行什么行为? 针对这一情况,请写出你得解决方案。(第二问)




这是我做的几道关于网络安全的题目,以前没有分析过网络,所以感觉无从下手.
自己查了下资料,对于第一题,数据包<=64可能是有人在用ping扫描一个网络吧,而给出的第二个统计数据就看不懂里面的协议了。比如说SPS,SMP,DDP,ESP,PIPE就不知道是什么协议了
对于第二题的第一问我感觉还是内部有人在扫描网络,第二问是不是在尝试连接cifs?
希望大家给些思路,谢谢了!
回复

使用道具 举报

zxrezx
 楼主| 发表于 2011-10-12 16:30:04 | 显示全部楼层
求解答
回复

使用道具 举报

by笨笨
发表于 2011-10-12 17:47:15 | 显示全部楼层
嗯 CIFS扫描!
回复

使用道具 举报

zxrezx
 楼主| 发表于 2011-10-13 12:50:06 | 显示全部楼层
回复笨笨
是的,它上面就例举了cifs在不断持续连接,而且六台计算机都有相同的统计特征,所以,我觉得可能是中蠕虫病毒了,在寻找cifs漏洞进行传染,管理员可以暂时封掉445端口,然后进行杀毒,并将系统更新到最新状态。不知道我等分析是否咋正确?请大哥点评呀。还有第一题大哥怎么想的呢?
回复

使用道具 举报

steve-zhu
发表于 2011-10-13 13:50:42 | 显示全部楼层
问题一看不懂,数据量少了点。
IGMP和PIM和组播相关,网络里有启用了PIM的路由设备;ESP应该是IPsec的安全封装有效载荷;其他几个不太熟。
回复

使用道具 举报

zxrezx
 楼主| 发表于 2011-10-13 14:49:50 | 显示全部楼层
回复 steve-zhu
DDP貌似是appletalk的神马协议,pipe好像是windows定义的一个访问数据库的命名管道,sps百度google不出来,实在是想不出第一题是什么行为,不过他们好像都是发了三个数据包,是不是也是什么扫描行为呢,还是比的什么东西?求思路~
回复

使用道具 举报

zxrezx
 楼主| 发表于 2011-10-13 21:47:25 | 显示全部楼层
130     SPS    Secure Packet Shield
103     PIM    Protocol Independent Multicast
121     SMP    Simple Message Protocol
45      IDRP   Inter-Domain Routing Protocol
131     PIPE   Private IP Encapsulation within IP
37      DDP    Datagram Delivery Protocol
50      ESP    Encap Security Payload
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表