|
|
发表于 2007-11-2 16:30:58
|
显示全部楼层
案例修正:
菜鸟人飞的分析非常正确,这个是我在工作没有注意到的
图片上显示:Total bytes 15,549,292
这里的bytes就是字节,但是经过我的测试得出以下结论:
红盟过客用科来抓包的时候缓存的设置模式是循环缓存方式,所以抓包的时间久了,缓存满了之后,后面抓的包就会覆盖前面抓的包,这时候统计上的流量总量还在继续计数,科来的统计参数也都是正确的,但是看它的数据包的时候,会发现数据包总量明显与统计的差距很大,数据包的时间段也小了很多!这就是为什么在分析中红盟过客说抓包时间20分钟以上,而包中的第一个数据帧与最后一个数据帧之间的时间差却只有几分钟或者几秒钟的时间!另外,我做分析时,是红盟过客将科来抓的包导出为sniffer格式的包发给我的,这个导出过程也存在问题,导出之后,到sniffer上显示的统计信息,是经过sniffer数据包信息再计算的,所以结果误差也非常大。我想,这个错误是由这两个操作导致的!!!当时做分析的时候我们没有注意到这里,以至于弄出这样的错误,幸好“菜鸟人飞”及时指出,也让我们意识到抓包时要注意缓存模式设置问题,往往这些小地方会弄出不必要的麻烦,还有科来导出sniffer格式数据包也应该注意!在这里,非常感谢“菜鸟人飞”,他的指出没能使我们的错误误导了大家!这个案子中肯定还存在其它问题,希望有志之士热情指出,我们会在心里由衷的感谢你!
还有,这个案子中我们有一个遗憾,虽然异常情况我们都找到了,但是,究竟是什么导致的这种异常我们始终没能拿出个定论,处理方式也都是以重做系统完成的!希望有经验的“大侠”来指出是什么病毒、哪种攻击、什么恶意软件或哪类下载导致的这些异常数据流!希望大家踊跃参与研究,谢谢o(∩_∩)o...
[ 本帖最后由 Bubbachuck 于 2007-11-2 16:47 编辑 ] |
|
发表于 2007-11-1 16:12:13
发表于 2007-11-1 17:01:24
