所需软件 http://www.csna.cn/
网吧掉线时上机130,有人叫掉线了,我到我本本上ping 路由192.168.1.254 直接不通,确定内网问题,打开科来分析,抓包30秒,保存工程文件作分析,一定要用最少时间恢复网络,不然人都跑光了,重启路由,恢复正常,接下来就是来慢慢分析
来看第一张图
30秒钟总流量11M,我切换到矩阵,发现了问题的所在,下面这张图219.133.38.176就占了8M多,可想而知了,可以确定这个IP肯定有问题 (注:我的路由带限速功能的,这觉不是流量攻击,从后面的数据包可以看出是UDP攻击)
定位到219.133.38.176,切换到协议视图,可以看出全被UDP协议占用
再定位到数据包视图,可以看出UDP局域网端口全是2000,外网端口15001
再看矩阵,看看那些机子连到这个IP,我得记下来到下面这些机子去查查,我随机抽查了两台机子24号跟79号
下面我们就到客户机去分析一下,查端口命令应该知道吧 netstat
我们输入netstat -nao -p udp 参数自己看帮助
于是出现了端口对应的PID,我们找到2000端口
看看对应的PID,再在任务管理器中查看查应的PID就发现了是QQ进程,其实我当时也想不明白为什么是QQ进程,难道是进程注入,我联系SB腾讯是没用的,没办法,只有封端口了哟,于是在路由上干掉了这两个端口,所以呢我也劝大家封掉此端口,没实际影响,正常QQ开着我查了不需要这两个端口
[ 本帖最后由 baiyang 于 2009-3-27 13:12 编辑 ] |
发表于 2009-3-26 22:02:50
