登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
各位帮我看下是不是蠕虫病毒?
返回列表
发帖
查看:
3077
|
回复:
5
各位帮我看下是不是蠕虫病毒?
[复制链接]
dominicwxc
dominicwxc
当前离线
积分
0
发表于 2013-6-15 06:33:31
|
显示全部楼层
|
阅读模式
数据包见附件,分析说是10.130.2.121疑似蠕虫病毒,但我看了下,看不出来。。。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
_Rabbit
_Rabbit
当前离线
积分
0
发表于 2013-6-15 07:43:20
|
显示全部楼层
看了一下数据包,10.130.2.121主机应该没有感染蠕虫。疑似蠕虫病毒分析默认IP会话数大于50、平均包长小于512字节、数据包的发送接收比大于2上报为疑似蠕虫病毒,由于镜像原因只捕获到了对端IP回的数据包,没有捕获到10.130.2.121主机外发的数据包,造成了数据包的收发比过大,所以上报为疑似蠕虫病毒
回复
使用道具
举报
dominicwxc
dominicwxc
当前离线
积分
0
楼主
|
发表于 2013-6-15 08:47:08
|
显示全部楼层
但今天2网段的电脑网络不正常,PING要掉包,我找不出原因就把10.130.2.121主机的交换机端口DOWN掉,结果网络恢复正常。
回复
使用道具
举报
_Rabbit
_Rabbit
当前离线
积分
0
发表于 2013-6-15 09:12:01
|
显示全部楼层
本帖最后由 _Rabbit 于 2013-6-15 09:15 编辑
你是如何做的镜像呀?数据包中2网段只能看到入网流量
回复
使用道具
举报
dominicwxc
dominicwxc
当前离线
积分
0
楼主
|
发表于 2013-6-15 12:44:32
|
显示全部楼层
三层交换上做的端口映射,both的
回复
使用道具
举报
yang8766
yang8766
当前离线
积分
9
发表于 2013-6-21 03:42:56
|
显示全部楼层
怎么只能看到回包,看不到发包啊?你们的去的路由和回的路由不是同一个路径,所以看不到10.130.2.121发出的包的情况,所以不知道是什么原因
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
浏览过的版块
科来产品
快速回复
返回顶部
返回列表
发表于 2013-6-15 06:33:31
发表于 2013-6-15 07:43:20