某医院内部网络攻击分析案例

分析概要

分析概要从以下三点做介绍。

分析内容

NetInside网络流量分析设备采集的流量。

分析时间

报告分析时间范围为:2020-09-28 07:58:00-11:58:00,时长共计3小时。

分析目的

本报告主要分析目的:查找和定位存在可疑现象的主机、查看可疑主机的MAC、

给出解决方案和建议。

分析结果

以下分别从可疑主机列表和对应MAC地址列表进行介绍。

可疑主机列表

以下主机存在可疑行为(共39台机器)。

异常判断标准:3小时内向网络中发送失败数超过10万个的主机。

某医院内部网络攻击分析案例_第1张图片

可疑主机对于MAC列表

以下是10网段存在异常主机及对应MAC列表(共17台机器)。

某医院内部网络攻击分析案例_第2张图片

以下是192.168网段存在可疑主机及对应MAC列表(共22台机器)。

某医院内部网络攻击分析案例_第3张图片

分析过程

以下分别从趋势图和数据包进行分析。

趋势图分析

以10.201.8.6为例做详细分析。该主机每分钟向网络中发生超过3000个失败连接请求,下图为主机10.201.8.6失败连接请求分布趋势图。

某医院内部网络攻击分析案例_第4张图片

数据包分析

以10.201.8.6为例,进一步详细分析。通过从分析系统进一步分析,该主机大量向外其他主机445端口发生连接请求,说明该主机可能感染病毒。

某医院内部网络攻击分析案例_第5张图片

方法和建议

以下分别给出解决方法和参考建议。

根据MAC定位和显示

查看可疑主机MAC的方法,以10.201.8.6为例。打开数据包,点击任意一行,在Ethernet层,即可看到源MAC。

某医院内部网络攻击分析案例_第6张图片

跟踪进程

进入存在问题的主机,使用命令netstat –anb,查看与外部地址445端口连接的进程,确认并进行相应操作。

某医院内部网络攻击分析案例_第7张图片

全面查杀

系统查杀该主机病毒,建议使用杀毒软件,对异常主机全面查杀。

你可能感兴趣的:(网络)