新人求助，网络发现大量137端口的UDP攻击。

peidream · 发表于 2013-9-22 16:16:08

现在应对办法：发现攻击立刻拔网线，已经拔了20多台了。
情况：貌似是可以感染的，中毒电脑不断出现。
各位大拿们有遇到这种情况的么，能告诉小弟是什么病毒就千恩万谢了！！！

peidream · 发表于 2013-9-22 16:18:01

补充一点，177是本机。

之前遇到ARP，找到主机杀了就行，现在太多了，重装不现实，能找到病毒，直接干掉就太好了。

tom9916 · 发表于 2013-9-24 10:02:03

从你的数据包来看，你只捕获了你电脑的数据，其他的包都会广播包。你端口137的udp包是netbios的广播包。整个网络的数据包，你没有正确捕获到，不好分析。
如果只针对你的电脑来看，看到的是大量的TCP重复链接，过多的ARP请求等等。

建议你在交换机上端口镜像，捕获所有网络数据包分析。

下面是omnipeek分析的报错日志统计。

ly7837 · 发表于 2013-9-24 14:26:31

木马的攻击不是这样的啊~~7837com

peidream · 发表于 2013-9-25 15:30:31

3# tom9916
水平实在差劲，正在学习中。
现在客户端做了双绑，再通过路由查广播主机，有点好转。

之前内网都是傻瓜交换机，刚买了个2层的，凑合用。

我去找找怎么做镜像，非常感谢！！！

peidream · 发表于 2013-9-25 15:34:38

4# ly7837

无语啊，路由上（华赛的安全路由网关），大量UDT\ARP\ICMP攻击，郁闷啊。

问题解决了得好好学习了，暗黑不能玩了

peidream · 发表于 2013-9-26 14:05:59

http://kuai.xunlei.com/d/VrWtALZ8-rhDUgQA566
这是做了端口镜像抓的包，拜求分析，谢谢 3# tom9916

新人求助，网络发现大量137端口的UDP攻击。

浏览过的版块