分析原理

正常的基于TCP的网络流量，都是先建立TCP连接，再传输数据，然后断开连接。

而网络中经常存在中毒系统、配置错误等问题，导致网络中存在单向请求现象，这些信息也会在网络流量中体现。

NetInside自动发现大量连接请求，但对方没有响应的行为，统计为失败数。

异常行为发现

IP为172.17.254.243平均每小时发送6480个请求，其中有3600个请求失败。

异常分析

所有的异常行为都会留有网络痕迹，通过系统下载172.17.254.243的原始报文，把当时的流量拿出来做分析。

通过下载数据包分析，发现大量的请求被拒绝现象。

建议

根据NetInside分析系统发现的异常主机，将这些存在失败请求行为的主机网络或设备相关规则改进，或者深入到该主机查看进程。