|
|
发表于 2006-11-8 09:02:48
|
显示全部楼层
大水牛
分析专家
UID 2
精华 0
积分 6
帖子 25
威望 6
金钱 612
阅读权限 50
注册 2006-4-11
状态 离线
192.168.1.156 这台机器有问题,在不断给 219.153.45.230(重庆的IP)发送大量内容只为"K"的数据包,应该是一种flood攻击行为. 如果你的路由器性能不好的话,面对这样的flood攻击自然会丢包, 丢的包中有正常通迅的数据包,这样其它机器上网就会受到干扰,掉线.
可先断掉"192.168.1.156 "这台机器的网络连接,保证其它机器能够正常上网,再检查这台机器为什么会发这样的数据包,看是否中了木马或病毒.
打开科来,切换到"会话"视图 -> UDP -> "数据"窗口查看详情,你会发现有大量的UDP会话都是同一个IP发起的.
Endpoint1: IP Address = 192.168.1.156, UDP Port = 1157
Endpoint2: IP Address = 219.153.45.230, UDP Port = 7000
KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK........
2006-9-25 15:04 #3
alexks
初来乍到
UID 4762
精华 0
积分 0
帖子 14
威望 0
金钱 305
阅读权限 10
注册 2006-9-16
状态 离线 确实中了病毒,上次我这边也有这现象,故障机表现为连接了N多外网IP的7000端口,利用率达到98%
由于太过紧张。。。所以也就直接把那台机关了,忘记查是什么原因了,只知道出现故障的机在桌面会生成一个BAT文件,而主程序是在系统的TEMP里。
请知道详细情况的大大们来上上课。
2006-9-25 15:33 #4
allmoxie
初来乍到
UID 4845
精华 0
积分 0
帖子 19
威望 0
金钱 330
阅读权限 10
注册 2006-9-18
状态 离线
QUOTE:
原帖由 wwwang 于 2006-9-25 14:08 发表
提问格式请看http://www.csna.cn/forum.php?mod ... &extra=page%3D1
看了你的数据包不完整,发完整的过来
把有故障的客户机断开情况会怎样呢?
谢谢你帮忙!!
完整文件已经上传好了。
故障机断开的话,网络马上就恢复正常了!
现在已经发现三台机器是这样了!万一会传染的话。。。想想就怕!
跟“alexks”说的一样,太紧张了。 马上就断开了!
事后用诺顿10升到最新盘,其中一台杀出四种病毒:TrojanHorse Backdoor.Trojan Adware.zhong Downloader
还有一台,却只杀出一个:Hacktool.PWS.QQpass.
而且,故障机好象是不定时发作的。让人头大!请再帮我分析一下 |
|
请朋友们帮我看一下,我真的没法了,也是第一次来论坛发贴,以前只看。前几天我们网吧中了维金,我现在都从新做了系统,
查了一下,利用端口7000的UDP包大部分为KUGOO,传奇私服等,要不你再等大大们来帮你研究一下了!
发表于 2006-11-8 09:13:23
不是,偶估计楼主的故障跟以前一个论坛上的帖子有相同或是思路相同的地方,所以引用了一下~
