某医院内部网络攻击分析案例

分析概要

分析概要从以下三点做介绍。

分析内容

NetInside网络流量分析设备采集的流量。

分析时间

报告分析时间范围为：2020-09-28 07:58:00-11:58:00，时长共计3小时。

分析目的

本报告主要分析目的：查找和定位存在可疑现象的主机、查看可疑主机的MAC、

给出解决方案和建议。

分析结果

以下分别从可疑主机列表和对应MAC地址列表进行介绍。

可疑主机列表

以下主机存在可疑行为（共39台机器）。

异常判断标准：3小时内向网络中发送失败数超过10万个的主机。

可疑主机对于MAC列表

以下是10网段存在异常主机及对应MAC列表（共17台机器）。

以下是192.168网段存在可疑主机及对应MAC列表（共22台机器）。

分析过程

以下分别从趋势图和数据包进行分析。

趋势图分析

以10.201.8.6为例做详细分析。该主机每分钟向网络中发生超过3000个失败连接请求，下图为主机10.201.8.6失败连接请求分布趋势图。

数据包分析

以10.201.8.6为例，进一步详细分析。通过从分析系统进一步分析，该主机大量向外其他主机445端口发生连接请求，说明该主机可能感染病毒。

方法和建议

以下分别给出解决方法和参考建议。

根据MAC定位和显示

查看可疑主机MAC的方法，以10.201.8.6为例。打开数据包，点击任意一行，在Ethernet层，即可看到源MAC。

跟踪进程

进入存在问题的主机，使用命令netstat –anb，查看与外部地址445端口连接的进程，确认并进行相应操作。

全面查杀

系统查杀该主机病毒，建议使用杀毒软件，对异常主机全面查杀。