NetInside网络安全分析保障某港口护网行动（一）

前言

某港口已部署流量分析系统，在护网攻防期间，使用流量分析系统提供实时和历史原始流量，以供安全取证、应用事务分析、网络质量监测以及深层网络分析。

分析与采集说明

为了便于分析使用，在攻防期间，流量分析系统只对12台靶标主机进行流量分析和数据包保存。

流量分布

以下是今日流量分布视图。其中存在几个明显的高峰现象。具体内容将会在异常分析中进行分析。

网络中出现的端口

以下是今天网络中出现的，跟靶机相关的网络端口信息统计和分析。

网络中出现了18个端口为服务的流量传输，这18个端口分别为：

名称	数据包个数(总和)[个]
49395-TCP	530843
MS-WBT-SRV-UDP（3389）	423533
45936-TCP	273635
oracleas-https-tcp（7443）	267350
49272-TCP	259799
HTTPS	63690
13003-TCP	59599
NETBIOS-NS-UDP（137）	31681
MS-WBT-SRV-TCP（3389）	27069
49396-TCP	24500
cslistener-tcp（9000）	20889
MICROSOFT-DS（445）	18068
ALT-HTTP（9000）	6634
13201-TCP	6192
13000-TCP	3319
61616-TCP	1644
13004-TCP	608
xmpp（5280）	11

端口是网络访问和数据传输的基本因素之一，建议重点关注未知端口流量信息。

异常分析

Web访问

运行期间有一个小的高峰，分析发现是xxx.xxx.xxx.3和靶标地址xxx.xxx.xxx.1之间，有如下这样一个访问地址

境外IP活动

发现境外IP地址xxx.xxx.xxx.193和靶机之间存在流量传输行为

 境外IP地址和如下靶机有传输

 具体分析了境外IP和靶机xxx.xxx.xxx.2的传输，xxx.xxx.xxx.2做的ping的回复行为

3389远程桌面流量

xxx.xxx.xxx.20和xxx.xxx.xxx.8、xxx.xxx.xxx.9之间通过3389端口有比较大的流量传输

 

结论

经过用户排查确认，以上怀疑的异常点属于正常通信。