各位帮我看下是不是蠕虫病毒？

dominicwxc · 发表于 2013-6-15 06:33:31

数据包见附件，分析说是10.130.2.121疑似蠕虫病毒，但我看了下，看不出来。。。

_Rabbit · 发表于 2013-6-15 07:43:20

看了一下数据包，10.130.2.121主机应该没有感染蠕虫。疑似蠕虫病毒分析默认IP会话数大于50、平均包长小于512字节、数据包的发送接收比大于2上报为疑似蠕虫病毒，由于镜像原因只捕获到了对端IP回的数据包，没有捕获到10.130.2.121主机外发的数据包，造成了数据包的收发比过大，所以上报为疑似蠕虫病毒

dominicwxc · 发表于 2013-6-15 08:47:08

但今天2网段的电脑网络不正常，PING要掉包，我找不出原因就把10.130.2.121主机的交换机端口DOWN掉，结果网络恢复正常。

_Rabbit · 发表于 2013-6-15 09:12:01

本帖最后由 _Rabbit 于 2013-6-15 09:15 编辑

你是如何做的镜像呀？数据包中2网段只能看到入网流量

dominicwxc · 发表于 2013-6-15 12:44:32

三层交换上做的端口映射,both的

yang8766 · 发表于 2013-6-21 03:42:56

怎么只能看到回包，看不到发包啊？你们的去的路由和回的路由不是同一个路径，所以看不到10.130.2.121发出的包的情况，所以不知道是什么原因