题目给出网络流量统计信息，要求分析网络中发生的行为

zxrezx · 发表于 2011-10-12 11:32:39

1.以下是某个网络的流量统计信息，请从这些信息中分析出网络中发生的行为，并写出此种行为的目的和数据包分布特点。

数据包大小	字节数	数据包数
< = 64	18.682 KB	513
65-127	2.457 KB	32
128-255	4.672 KB	24
256-511	3.243 KB	11
512-1023	0.000 KB	0

协议	数据包数	发送字节	接收字节	包内数据
IGRP	3	0.111	0	0.000 KB
SPS	3	0.111	0	0.000 KB
PIM	3	0.111	0	0.000 KB
SMP	3	0.111	0	0.000 KB
IDRP	3	0.111	0	0.000 KB
PIPE	3	0.111	0	0.000 KB
DDP	3	0.111	0	0.000 KB
ESP	3	0.111	0	0.0

2.某单位的网络出口流量超出正常范围，管理员通过嗅探统计出以下的结果：（12分）

数据包大小	字节数	数据包数	利用率
< = 64	5.223 MB	85876	0.553%
65-127	11.234 MB	152043	2.546%
128-255	1.221 MB	7492	0.224%
256-511	354.458 MB	1023	0.312%
512-1023	1.743 MB	2365	0.943%
1024-1517	42.523 MB	34173	1.521%
> = 1518	105.402 MB	74821	14.562%

地址统计	数量
IP地址数	87032
本地IP地址数	9
远程IP地址数	87023

注：该单位已经禁止了 p2p软件的下载

类型统计	数据包数
TCP连接被拒绝	76
TCP重复的连接尝试	63278
TCP重传数据包	7
TCP慢应答	2489
TCP重复的确认	102
ICMP目的不可达	99
ICMP 端口不可达	35

从以上三个表格中，你可以得出什么结论？ （第一问)

经过进一步诊断，管理员发现单位中有6台计算机有问题。定位到其中一台计算机上( 210.27.8.5 )，统计其数据包，得出以下两个表格：

协议类型	数据包数量	接收字节	发送字节
Kerberos	143	5.023 KB	20.124 KB
http	8	0 B	399 B
CIFS	45632	0 B	2.875 54MB
NetBIOS	565	0 B	54.102 KB
Echo reply	8	927 B	0 B
Echo request	8	0 B	927 B
Time exceed	5	304 B	0 B

地址	地址	协议	连接持续时间
210.27.8.5:2345	217.90.243.32:445	CIFS	00:00:00
210.27.8.5:5653	45.24.203.45:445	CIFS	00:00:03
210.27.8.5:2436	67.33.81.6:445	CIFS	00:00:00
210.27.8.5:9853	12.87.225.14:445	CIFS	00:00:00
210.27.8.5:3435	117.4.134.5:445	CIFS	00:00:04
210.27.8.5:6234	175.105.32.8:445	CIFS	00:00:08
210.27.8.5:6741	43.152.67.9:445	CIFS	00:00:00

单位中的这6台计算机具有基本相同的统计特征，请问这些计算机存在什么问题，他们正在进行什么行为？针对这一情况，请写出你得解决方案。（第二问）

这是我做的几道关于网络安全的题目，以前没有分析过网络，所以感觉无从下手.
自己查了下资料，对于第一题，数据包<=64可能是有人在用ping扫描一个网络吧，而给出的第二个统计数据就看不懂里面的协议了。比如说SPS，SMP，DDP，ESP，PIPE就不知道是什么协议了
对于第二题的第一问我感觉还是内部有人在扫描网络，第二问是不是在尝试连接cifs？
希望大家给些思路，谢谢了！

zxrezx · 发表于 2011-10-12 16:30:04

求解答

by笨笨 · 发表于 2011-10-12 17:47:15

嗯 CIFS扫描！

zxrezx · 发表于 2011-10-13 12:50:06

回复笨笨
是的，它上面就例举了cifs在不断持续连接，而且六台计算机都有相同的统计特征，所以，我觉得可能是中蠕虫病毒了，在寻找cifs漏洞进行传染，管理员可以暂时封掉445端口，然后进行杀毒，并将系统更新到最新状态。不知道我等分析是否咋正确？请大哥点评呀。还有第一题大哥怎么想的呢？

steve-zhu · 发表于 2011-10-13 13:50:42

问题一看不懂，数据量少了点。
IGMP和PIM和组播相关，网络里有启用了PIM的路由设备；ESP应该是IPsec的安全封装有效载荷；其他几个不太熟。

zxrezx · 发表于 2011-10-13 14:49:50

回复 steve-zhu
DDP貌似是appletalk的神马协议，pipe好像是windows定义的一个访问数据库的命名管道，sps百度google不出来，实在是想不出第一题是什么行为，不过他们好像都是发了三个数据包，是不是也是什么扫描行为呢，还是比的什么东西？求思路~

zxrezx · 发表于 2011-10-13 21:47:25

130    SPS Secure Packet Shield
103    PIM Protocol Independent Multicast
121    SMP Simple Message Protocol
45    IDRP Inter-Domain Routing Protocol
131    PIPE Private IP Encapsulation within IP
37    DDP Datagram Delivery Protocol
50    ESP Encap Security Payload