分析概要
分析概要从以下三点做介绍。
分析内容
NetInside网络流量分析设备采集的流量。
分析时间
报告分析时间范围为:2020-09-28 07:58:00-11:58:00,时长共计3小时。
分析目的
本报告主要分析目的:查找和定位存在可疑现象的主机、查看可疑主机的MAC、
给出解决方案和建议。
分析结果
以下分别从可疑主机列表和对应MAC地址列表进行介绍。
可疑主机列表
以下主机存在可疑行为(共39台机器)。
异常判断标准:3小时内向网络中发送失败数超过10万个的主机。
可疑主机对于MAC列表
以下是10网段存在异常主机及对应MAC列表(共17台机器)。
以下是192.168网段存在可疑主机及对应MAC列表(共22台机器)。
分析过程
以下分别从趋势图和数据包进行分析。
趋势图分析
以10.201.8.6为例做详细分析。该主机每分钟向网络中发生超过3000个失败连接请求,下图为主机10.201.8.6失败连接请求分布趋势图。
数据包分析
以10.201.8.6为例,进一步详细分析。通过从分析系统进一步分析,该主机大量向外其他主机445端口发生连接请求,说明该主机可能感染病毒。
方法和建议
以下分别给出解决方法和参考建议。
根据MAC定位和显示
查看可疑主机MAC的方法,以10.201.8.6为例。打开数据包,点击任意一行,在Ethernet层,即可看到源MAC。
跟踪进程
进入存在问题的主机,使用命令netstat –anb,查看与外部地址445端口连接的进程,确认并进行相应操作。
全面查杀
系统查杀该主机病毒,建议使用杀毒软件,对异常主机全面查杀。