|
|
刚在看教学视频,分析如何查找蠕虫病毒攻击,网络中一台机器中了蠕虫病毒,会像内网内大量主机发送TCP半连接,扫描他们。
我突然想,我们一般进行网络分析都是在网关出口,或者路口做的镜像,抓的包吧,按理说应该发现不了单个主机跟内网大量主机建立连接才对。按理说,单个主机跟大量主机建立连接发的是单播包,建立连接,两两之间,是不经过网关的,我们只能抓到要经过网关的包,就说在网关部署分析系统抓出来的包对于内网主机之间通信这块应该是一片空白的。
我就不明白教程了是在哪抓的包,能看到单个主机跟大量内网主机建立连接,除非刚好在种了蠕虫病毒的PC上安科来,然后抓包,才会知道它跟内网大量主机发送TCP连接。
不知道是我的想法不对,还是抓包地点不同,新人请教,有没有有经验的能解决下,万分感谢!!!! |
|
发表于 2011-3-5 21:24:37
发表于 2011-3-7 09:14:59