|
|
发表于 2006-9-7 17:25:58
|
显示全部楼层
原帖由 artico 于 2006-9-7 16:00 发表
如果是DDOS攻击的话
源MAC即AC85对应该的IP不断化是可以理解的
问题 是
目标MAC即D028对应的IP也不断变化,那就费解喽。。
端口变化可以也可以理解
所以这里突出的一个问题点就是:
为什么被害者的IP还不 ...
目标MAC即D028对应的IP也不断变化,那就费解喽。。
端口变化可以也可以理解
再次看了下数据包
觉得可能是DDOS攻击!
Huawei Tach:3C: D0:28 (1000)应该是网关哦!
加粗的那句话,可以这样理解:
DDOS可能是人为的,也可能是病毒造成的,攻击者伪造了许多IP地址(都是外网的地址),她们和内网地址发起连接,这时内网地址肯定要确认连接撒,所以首先发给MAC为Huawei Tach:3C: D0:28 的网关,再通过网关这些伪造地址连接,
查看会话视图,可以看到,很多都是“单相思”哦,而且很有规律(数据包大小,及周期),如下图。
类似,查看Fujian Star Terminal:F7:AC:85 (180)和Fujian Star Terminal:F7:AC:86 (958),可以在会话和数据包视图结合查看。
[ 本帖最后由 KelvinFu 于 2006-9-7 17:28 编辑 ] |
评分
-
1
查看全部评分
-
|
发表于 2006-9-7 14:03:28
