使用Security Analysis抓到几个异常情况

hbklove8 · 发表于 2013-10-14 09:25:16

本帖最后由 hbklove8 于 2013-10-14 10:45 编辑

如图所示，抓到几个异常的情况，但是我看不懂。请高手帮忙分析一下。
其中有一台dos attacked 的机器是192.168.16.255，这台设备不存在。

L.Jonsson · 发表于 2013-10-14 09:38:21

楼主最好上点数据包

huan.li · 发表于 2013-10-14 09:48:30

楼主，上传数据包。

hbklove8 · 发表于 2013-10-14 10:45:48

已经上传数据包。

L.Jonsson · 发表于 2013-10-14 12:53:36

楼主，看了一下你的数据包，192.168.16.255是网段的广播地址，而被检测出收到DOS攻击，是因为网段内大量的NetBios流量。

hbklove8 · 发表于 2013-10-14 13:13:37

5# L.Jonsson Netbios应该是正常的，我们局域网内几乎每台机器都要使用WIN7的网络邻居，而且有一台是共享文件服务器，大家都是通过桌面->网络->查找到对应计算机后，点击获取文件的。
这个应该是正常的吧？
另外，我估计我的这台DLINK-DES1048的交换机没有端口镜像，应该是抓包不全的。

什么叫端口镜像，是不是所有的在交换机里交换的数据都会再转发到基本一个固定端口？

L.Jonsson · 发表于 2013-10-15 09:31:43

端口镜像可以认为是将交换机的一个或多个端口的数据复制一份到指定的目的端口