本文介绍了一次护网攻防演练中流量分析系统的使用情况,包括流量分布特征、异常流量分析等内容。针对12台靶标主机的流量进行了详细记录,并对高峰时段的流量、可疑端口及异常通信行为进行了深入探讨。
前言
某港口已部署流量分析系统,在护网攻防期间,使用流量分析系统提供实时和历史原始流量,以供安全取证、应用事务分析、网络质量监测以及深层网络分析。
分析与采集说明
为了便于分析使用,在攻防期间,流量分析系统只对12台靶标主机进行流量分析和数据包保存。
流量分布
以下是今日流量分布视图。其中存在几个明显的高峰现象。具体内容将会在异常分析中进行分析。
网络中出现的端口
以下是今天网络中出现的,跟靶机相关的网络端口信息统计和分析。
网络中出现了18个端口为服务的流量传输,这18个端口分别为:
| 名称 | 数据包个数(总和)[个] |
| 49395-TCP |
530843 |
| MS-WBT-SRV-UDP(3389) |
423533 |
| 45936-TCP |
273635 |
| oracleas-https-tcp(7443) |
267350 |
| 49272-TCP |
259799 |
| HTTPS |
63690 |
| 13003-TCP |
59599 |
| NETBIOS-NS-UDP(137) |
31681 |
| MS-WBT-SRV-TCP(3389) |
27069 |
| 49396-TCP |
24500 |
| cslistener-tcp(9000) |
20889 |
| MICROSOFT-DS(445) |
18068 |
| ALT-HTTP(9000) |
6634 |
| 13201-TCP |
6192 |
| 13000-TCP |
3319 |
| 61616-TCP |
1644 |
| 13004-TCP |
608 |
| xmpp(5280) |
11 |
端口是网络访问和数据传输的基本因素之一,建议重点关注未知端口流量信息。
异常分析
Web访问
运行期间有一个小的高峰,分析发现是xxx.xxx.xxx.3和靶标地址xxx.xxx.xxx.1之间,有如下这样一个访问地址
境外IP活动
发现境外IP地址xxx.xxx.xxx.193和靶机之间存在流量传输行为
境外IP地址和如下靶机有传输
具体分析了境外IP和靶机xxx.xxx.xxx.2的传输,xxx.xxx.xxx.2做的ping的回复行为
3389远程桌面流量
xxx.xxx.xxx.20和xxx.xxx.xxx.8、xxx.xxx.xxx.9之间通过3389端口有比较大的流量传输
结论
经过用户排查确认,以上怀疑的异常点属于正常通信。
扫一扫
&spm=1001.2101.3001.5002&articleId=128147934&d=1&t=3&u=1d85139318154c58b5f11ef0f7a958f2)
521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
