NetInside网络安全分析保障某港口护网行动(一)

前言

某港口已部署流量分析系统,在护网攻防期间,使用流量分析系统提供实时和历史原始流量,以供安全取证、应用事务分析、网络质量监测以及深层网络分析。

分析与采集说明

为了便于分析使用,在攻防期间,流量分析系统只对12台靶标主机进行流量分析和数据包保存。

流量分布

以下是今日流量分布视图。其中存在几个明显的高峰现象。具体内容将会在异常分析中进行分析。

NetInside网络安全分析保障某港口护网行动(一)_第1张图片

网络中出现的端口

以下是今天网络中出现的,跟靶机相关的网络端口信息统计和分析。

网络中出现了18个端口为服务的流量传输,这18个端口分别为:

名称 数据包个数(总和)[个]
49395-TCP

530843

MS-WBT-SRV-UDP(3389)

423533

45936-TCP

273635

oracleas-https-tcp(7443)

267350

49272-TCP

259799

HTTPS

63690

13003-TCP

59599

NETBIOS-NS-UDP(137)

31681

MS-WBT-SRV-TCP(3389)

27069

49396-TCP

24500

cslistener-tcp(9000)

20889

MICROSOFT-DS(445)

18068

ALT-HTTP(9000)

6634

13201-TCP

6192

13000-TCP

3319

61616-TCP

1644

13004-TCP

608

xmpp(5280)

11

端口是网络访问和数据传输的基本因素之一,建议重点关注未知端口流量信息。

异常分析

Web访问

运行期间有一个小的高峰,分析发现是xxx.xxx.xxx.3和靶标地址xxx.xxx.xxx.1之间,有如下这样一个访问地址

NetInside网络安全分析保障某港口护网行动(一)_第2张图片

NetInside网络安全分析保障某港口护网行动(一)_第3张图片

境外IP活动

发现境外IP地址xxx.xxx.xxx.193和靶机之间存在流量传输行为

NetInside网络安全分析保障某港口护网行动(一)_第4张图片

 境外IP地址和如下靶机有传输

NetInside网络安全分析保障某港口护网行动(一)_第5张图片

 具体分析了境外IP和靶机xxx.xxx.xxx.2的传输,xxx.xxx.xxx.2做的ping的回复行为

NetInside网络安全分析保障某港口护网行动(一)_第6张图片

3389远程桌面流量

xxx.xxx.xxx.20和xxx.xxx.xxx.8、xxx.xxx.xxx.9之间通过3389端口有比较大的流量传输

NetInside网络安全分析保障某港口护网行动(一)_第7张图片

 

NetInside网络安全分析保障某港口护网行动(一)_第8张图片

结论

经过用户排查确认,以上怀疑的异常点属于正常通信。

你可能感兴趣的:(性能管理,流量监控,web安全,网络)