NetInside网络安全分析保障某港口护网行动（二）

前言

某港口已部署流量分析系统，在护网攻防期间，使用流量分析系统提供实时和历史原始流量，以供安全取证、应用事务分析、网络质量监测以及深层网络分析。

分析与采集说明

为了便于分析使用，在攻防期间，流量分析系统只对12台靶标主机进行流量分析和数据包保存。分析与采集的信息时间段为2022-07-27 14:00到2022-07-28 14:00。

流量分布

以下是今日流量分布视图。其中17:15时间存在明显的高峰现象，可参考后面高流量分析。

下图为全天的流量图：

网络中新出现的端口

以下是今天网络中新出现的，跟靶机相关的网络端口信息统计和分析。

网络中出新现了7个端口为服务的流量传输，这7个端口分别为：

名称	数据包个数(总和)[个]
fprams-tcp（4119）	2150599
4120-TCP	58091
snmp-udp（161）	44427
netscript-tcp（4118）	4643
echo-tcp（7）	24
synapse-nhttp-tcp（8280）	12
assuria-slm-tcp（4119）	3

端口是网络访问和数据传输的基本因素之一，建议重点关注未知端口流量信息。

已知端口加白名单

将昨天出现的新的端口定义为白名单。

应用名称	端口
Yitihua-54881	54881
Yitihua-8280	8280
Yitihua-6622	6622

新端口流量分析

fprams-tcp（4119）流量分析

分析时间范围内，17:15时间存在高流量传输：

 最大的前五个会话情况如下图：

 TCP流量分析

分析时间范围内，17:15时间出现流量传输：

 最大的前五个会话情况如下图：

snmp-udp（161）流量分析

分析时间范围内，17:25时间出现流量传输：

 会话情况如下图：

 数据包分析情况如下：

netscript-tcp（8280）流量分析

分析时间范围内，17:15时间出现流量传输：

 最大的前五个会话情况如下图：

assuria-slm-tcp（4119）流量分析

分析时间范围内，1759时间出现流量传输：

 Xxx.xxx.xxx.22成功访问了Xxx.xxx.xxx.4的4118、4119、4120的三个端口。

 结论

经过用户确认，以上高峰流量对他们护网分析帮助很大，能给领导精确的汇报大流量情况。