用sniffer抓包后,分析的一些思路。
是否是攻击的一个标准就是:量变引起质变。正常的东西多了就变的不正常。
从报文大小来看:TCP报文攻击多为小字节攻击,UDP攻击多为大字节。
从端口来看: 是否是一些常见的病毒攻击端口,比如在用户网络中135,138很常见,但在运营商网络中,这些端口一般都是封掉的。
从报文源地址: 是否是一些非法源地址,或者是一些不会在公网上出现的地址。
从报文的checksum来看:一些程序通过发送大量错误报文,让网络设备疲于奔命。
| M | T | W | T | F | S | S |
|---|---|---|---|---|---|---|
| « Dec | ||||||
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 | |
One Response
min min
06|Nov|2008 1技术啊
Leave a reply