11.高级网络管理-Sniffer Pro工具1.pptVIP

IP 地址 发包数量 收包数量 55 300 0 50 243 30 52 221 0 19 189 0 2 147 0 0 129 4 02 109 13 2 109 0 同样，我们可以发现，如下 IP 地址存在同样的问题： 下面是我们对部分主机的流量分析。首先我们对 IP 地址为 的主机 产生的网络流量进行过滤，然后查看 其网络流量的流向，下面是用 Sniffer 的 Matrix 看到的其发包目标。 我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发 两个数据包。 通过 Sniffer 的解码（Decode）功能，我们来了解这台主机向外发出的数据包 的内容，如图。 从 Sniffer 的解码中我们可以看出，该主机发出的所有的数据包都是 HTTP 的SYN 包，SYN 包是主机要发起 TCP 连接时发出的数据包，也就是 IP 地址为 的主机试图同网络中非常多的主机建立 HTTP 连接，但没有得到任何 回应，这些目标主机 IP 地址非常广泛（可以认为是随机产生的），且根本不是 HTTP 服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出 的。 通过以上的分析，我们能够非常肯定的断定，IP 地址为 的主机产 生的网络流量肯定是异常网络流量。该主机发出的