请帮忙分析抓包的结果

wfu_liuxh · 发表于 2007-6-27 23:56:16

抓包结果见附件。
从矩阵图可以看出10.204.2.31在扫描，事实上也该用户确实中了病毒（杀毒后再不出此现象).
我想问的是，这是否是arp攻击（理由）？如果不是，那么是什么攻击？如何解读该抓包结果？
请各位大侠赐教。

[ 本帖最后由 wfu_liuxh 于 2007-6-27 23:57 编辑 ]

只是一个神话 · 发表于 2007-6-28 01:13:58

不是ARP攻击，因为请求和应答包成正比，数量也正常
感觉是TCP UDP FLOOD，但是从数据包上看，跟传统TCP UDP FLOOD攻击不一样。

wfu_liuxh · 发表于 2007-6-28 07:28:30

原帖由 只是一个神话 于 2007-6-28 01:13 发表
不是ARP攻击，因为请求和应答包成正比，数量也正常
感觉是TCP UDP FLOOD，但是从数据包上看，跟传统TCP UDP FLOOD攻击不一样。

首先谢谢这位朋友的指教。
我感觉该机器的用户正在上qq,而且是因为中了病毒造成的扫描，但不知能否根据数据包分析出扫描的病毒。
另外楼上说的TCP UDP FLOOD是一种何种操作或什么病毒造成的？
也希望其他朋友指教。

只是一个神话 · 发表于 2007-6-28 10:26:02

原帖由 wfu_liuxh 于 2007-6-28 07:28 发表

首先谢谢这位朋友的指教。
我感觉该机器的用户正在上qq,而且是因为中了病毒造成的扫描，但不知能否根据数据包分析出扫描的病毒。
另外楼上说的TCP UDP FLOOD是一种何种操作或什么病毒造成的？
也希望其他朋 ...

这个，根据数据包分析出扫描的病毒，好像办不到，或者说我不知道，呵呵
TCP FLOOD和UDP FLOOD是一种攻击手段，TCP FLOOD是用的TCP三次握手，也就是说客户端发送一个SYN包，服务器端就得回复一个ACK+SYN，然后客户端回复ACK，但服务器回复ACK+SYN后，客户端因为是伪造的源MAC，服务器就得不到客户端ACK包。服务器端就有一个等待响应超时，这个占用一定的缓存空间，如果大量伪造数据包，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器可用TCP连接队列很快将会阻塞，系统可用资源，网络可用带宽急剧下降，无法向用户提供正常的网络服务。 UDP也类似，比如 UDP DNS QUERY FLOOD，一台机器向DNS服务发送大量DNS查询包，造成服务器带宽阻塞，无法提供服务。
相关信息可查看：http://www.cert.org.cn/upload/20 ... SA-WangHongyang.pdf

只是一个神话 · 发表于 2007-6-28 10:27:51

可以基本肯定是攻击，但是不知道他在攻击什么。都不是些正规的端口。

wfu_liuxh · 发表于 2007-6-28 10:41:07

原帖由 只是一个神话 于 2007-6-28 10:27 发表
可以基本肯定是攻击，但是不知道他在攻击什么。都不是些正规的端口。

我也感觉是攻击无疑,否则他不应该扫描所有局域网(我家网络的vlan总共才有5台机器,一个7口交换机).我今天打电话问她,她好像只是一般上网.没有认为执行网络攻击行为.她还告诉我她机器安装有正版卡巴斯基而且每天升级.
因为以前一直没涉猎网络抓报软件的应用,因此希望朋友们帮忙.

wfu_liuxh · 发表于 2007-6-28 17:26:10

help,help
帮忙呀

只是一个神话 · 发表于 2007-6-28 17:44:03

呵呵。我知道的就这些了，另外不要太相信杀毒软件，如果真的是攻击，有可能是主机被入侵了，被人当肉鸡用了。

帮你顶下。

zealotcc · 发表于 2007-6-28 19:14:33

首先感谢楼上几位朋友的热心回复，论坛就需要这样的讨论气氛

然后再说一下包，不知道各位有没有注意到，都是10.204.2.31 3420 向其他外网ip发包，所以呈现出辐射状，但大家仔细再看下包的方向和包的大小，这应该是31这台主机向外网发送大量数据，而端口都是3420，有点像P2P软件？或是流媒体服务？建议楼主查看一下3420对应什么进程

[ 本帖最后由 zealotcc 于 2007-6-28 19:18 编辑 ]

wfu_liuxh · 发表于 2007-6-28 19:20:30

原帖由 zealotcc 于 2007-6-28 19:14 发表
首先感谢楼上几位朋友的热心回复，论坛就需要这样的讨论气氛

然后再说一下包，不知道各位有没有注意到，都是10.204.2.31 3420 向其他外网ip发包，所以呈现出辐射状，但大家仔细再看下包的方向和包 ...

谢谢提醒。我因为以前没怎么用过抓包相关软件因此不知道如何解读抓包结果。我回去再仔细看一下。

wfu_liuxh · 发表于 2007-6-28 20:38:28

无法了解该用户3420端口的进程(机主不在）。
从网上也查不到什么软件会开启3420端口。10.204.2.31还开起了其他一些端口。

[ 本帖最后由 wfu_liuxh 于 2007-6-28 21:45 编辑 ]

wfu_liuxh · 发表于 2007-6-28 21:47:02

另外补充一些信息：

局域网本vlan ip为：10.204.2.xx
mask：                255.255.0.0
gateway：             10.204.0.1
dns:  202.102.126.68,210.44.64.66
抓包机器ip:10.204.2.22
怀疑问题机器为：10.204.2.31
请大家再提供一些解读参考。

wfu_liuxh · 发表于 2007-6-29 07:58:01

另外补充一些信息：

局域网本vlan ip为：10.204.2.xx
mask：                255.255.0.0
gateway：             10.204.0.1
dns:  202.102.126.68,210.44.64.66
抓包机器ip:10.204.2.22
怀疑问题机器为：10.204.2.31
请大家再提供一些解读参考。