wireshark可疑网络攻击处理方式.docVIP

DOCPROPERTY Title 请输入文档标题 PAGE - PAGE 1 - ? DATE \@ yyyy 2012 绿盟科技 密级： DOCPROPERTY 密级 请输入文档密级 DOCPROPERTY Title 可疑网络攻击处理方式 Wireshark安装使用 下载wireshark Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。我们使用wireshark在网络出口处抓包并进行针对性分析工作。 Wireshark是开源免费的，可以在官方网站上下载，目前最新版本是1.6.4，下载地址为 /download.html 。 国内有netexpert修改的中文内核版，可分析包含中文的数据封包，下载地址为 /wireshark/ 。 安装wireshark 安装过程以1.6.4版本为例，步骤如下： 下载好的安装程序 双击安装 不要更改默认设置，一直Next下去，很快即可安装成功。 Wireshark需要winpcap的支持，会自动安装WinPcap。如果主机已安装WinPcap，这一步可取消勾选。 启动wireshark 在“开始”－“程序”菜单里找到wireshark，点击启动。启动后如图所示： 开始抓包 点击“Capture”－“Interface”，将显示所有可用的网络接口： 点击相应网卡的“Start”按钮之后，系统将开始抓包： 提取电信提供的攻击数据特征，特征表格可能会如下格式： 根据表格，可以整理出重点IP和端口。 例：如果表格表明网络向IP为25的80端口发起攻击，应该使用wireshark进行如下操作。 Wireshark过滤 找到重点IP和端口后，即可对wireshark的数据包进行过滤，要求只显示所需的数据。 在Filter栏里写上过滤规则，回车后即可对显示结果进行过滤。 过虑规则可用： ip.addr== 只显示IP地址为的数据包 ip.src== 只显示IP源地址为的数据包 ip.dst== 只显示IP目的地址为的数据包 http 直接输协议名，只显示HTTP协议数据包 tcp.port==80 只显示TCP 80端口的数据包 tcp.srcport==80 只显示TCP 源端口为80的数据包 and 多个规则用and逻辑与相连 例如，攻击监控显示该网络向IP为25、端口80发起攻击，则使用以下规则： ip.dst==25 and tcp.port==80 从图中可以得出与25的TCP 80端口持续通信的内网IP为4，则基本可以确定发起的攻击源。 内网机器处理 主机网络分析 对于上述找到的内网IP地址，找到此主机的物理位置，在该主机上进行详细的分析。 建议使用在主机上运行TcpView（下载/soft/8/9/2010/Soft_63809.html ）或360网络连接查看器等工具查看本地的具体网络连接状况： 可以定位到具体的进程名及PID。确认该进程是否是已知应用进程。如果是，找出攻击原因；如果不是，建议对主机进行全面的安全检查和加固。 主机处理 1，下载防病毒软件进行全面的病毒和木马查杀工作；例如360杀毒和360卫士进行全盘查杀； 2，安装最新操作系统和各应用软件补丁，修复已公布的软件漏洞； 3，进行全面的配置加固，开启防火墙，开启严格访问控制策略，加固用户帐号和权限管理； 4，对于向外开放的应用，如WEB应用，应保证管理权限的严格控制，并进行WEB应用的加固。加强针对性的应用防护，强烈建议对WEB应用进行专业的软件或硬件进行WEB应用防护。 数据综合分析 使用wireshark菜单“Statics”－“Endpoints”，可汇总查看网络数据包特点。 IPv4标签：可以按IP、包数、字节点进行分类和排名： TCP/UDP，可按照协议类型、端口进行分析排名： 重新验证 完成处理与加固之后，重新对该网络进行抓包，分析是否仍旧存在攻击特征数据包。如果存在，继续进行下一步的处理工作。