矩阵中显示的连接，在数据包里没有！！

icexplorer

矩阵中显示的连接，在数据包里没有！！


下面是包，很明显这个机子中病毒了，但是在矩阵中有在数据包里却没！！！高手来看下

icexplorer

图片发上来大家来看下

qingneng000

1.楼主的机器192.168.0.10在发包192.168.0.253在收包 而且频率很快·楼主在做什么`
（是一直持续、还是其它..........）
2.总流量10.122兆 内部流量10.054兆 网络利用率很低，平时网络速度怎样？
3.请问楼主说这个机器中毒了 你指的是那台机器？是 楼主自己的机器吗？

[ 本帖最后由 qingneng000 于 2008-5-4 09:21 编辑 ]

徐徐渐进

如图：


192.168.0.10这台机器是你本机？在做什么操作？

icexplorer

10是一台客户机，253是游戏服务器，我说的是10中毒了，
10是抓包的机器，抓包时我没开任何的上网软件，
平常上网很快的，和253的通讯是正常的是游戏更新，但是我没上网，矩阵里显示的有很多外网地址但是数据包里没，一个都没，我的包缓存也没满


对了忘说了，我是用的253上的远控对10上的科来操作的，不过也不应该没有外网的包啊

[ 本帖最后由 icexplorer 于 2008-5-4 10:17 编辑 ]

qingneng000

1、应该是192.168.0.10 和192.168.0.253之间的通讯太过频繁，
每秒200左右的包，此时的主要通讯是 10 向 253 的游戏更新
冲掉了数据包视图中的缓存，因此在矩阵视图的的外网地址在数据包
视图中已经被更新，或者可以说是刷新了，不知道能否这样理解
2、楼主为何不在192.168.0.10不做游戏更新的时候在抓包呢
3、能否直接在192.168.0.10 机器上查看数据 而不是通过远程
4、根据楼主的意思是认为10肯定有病毒 那你大可以查杀过后在定论

[ 本帖最后由 qingneng000 于 2008-5-4 11:07 编辑 ]

icexplorer

缓存没慢包也能‘冲掉’吗

oldjiang

肯定是中毒了，定位10机器，TCP会话，包降序，他和121.10.108.172:80之间的数据包概要，C: GET /26.exe HTTP/1.1、C: GET /27.exe HTTP/1.1、C: GET /5.exe HTTP/1.1。。。看看本地端口对应的是什么进程。剩下那些外网会话，多为135端口，应该是病毒在操作。

[ 本帖最后由 oldjiang 于 2008-5-4 10:50 编辑 ]

徐徐渐进

10发出的全是同步数据,应是中毒了吧.检查下进程看看

qingneng000

在线时刻关注 学习~学习 ~~
不过怎么能确定那是病毒而不是游戏更新程序呢？是根据url吗？

[ 本帖最后由 qingneng000 于 2008-5-4 10:59 编辑 ]

oldjiang

呵呵，根据经验，我见过几次这样的病毒，N.EXE，N是递增的，杀毒软件有警告，杀不掉（杀不全），只好恢复系统。

qingneng000

既然是经验所得 那自然是可信了
oldjiang 请教你一个问题：
88中毒，收发大量垃圾邮件 使用杀毒软件杀不干净
但是由于有些因素88这台机器暂时 不能恢复系统
在不断开88这台机器网络的情况下 影响大吗？

oldjiang

看了看我收到的垃圾邮件，一般小于10K，估计流量不大。但是收件人可能会投诉。

icexplorer

果然难缠，昨天晚上先恢复系统，又下了个KABA杀，杀了一个小时，杀出无数个。杀完重启又有了，估计是新的机器狗，后来断网又杀了一遍又杀去十几个，今天又有了，无耐

icexplorer

我的问题还没回答呢，数据包怎么会丢呢，楼上所说的发包太快造成外网的哪些包丢，我觉得不会，才多少包就开始丢了，那科来不是太弱了吗？

顺便说下，输入法，在杀完后也只剩XP自带的五笔了，

oldjiang

原帖由 icexplorer 于 2008-5-5 09:01 发表
我的问题还没回答呢，数据包怎么会丢呢，楼上所说的发包太快造成外网的哪些包丢，我觉得不会，才多少包就开始丢了，那科来不是太弱了吗？

顺便说下，输入法，在杀完后也只剩XP自带的五笔了，

哪个节点的数据包丢了？