wireshark可疑网络攻击处理方式

可疑网络攻击处理方式Wireshark安装使用下载wiresharkWireshark〔前称Ethereal是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包.并尽可能显示出最为详细的网络封包资料。我们使用wireshark在网络出口处抓包并进行针对性分析工作。Wireshark是开源免费的.可以在官方网站上下载.目前最新版本是.下载地址为。国内有netexpert修改的中文内核版.可分析包含中文的数据封包.下载地址为。安装wireshark安装过程以1.6.4版本为例.步骤如下：下载好的安装程序双击安装不要更改默认设置.一直Next下去.很快即可安装成功。Wireshark需要winpcap的支持.会自动安装WinPcap。如果主机已安装WinPcap.这一步可取消勾选。启动wireshark在"开始"－"程序"菜单里找到wireshark.点击启动。启动后如图所示：开始抓包点击"Capture"－"Interface".将显示所有可用的网络接口：点击相应网卡的"Start"按钮之后.系统将开始抓包：提取电信提供的攻击数据特征.特征表格可能会如下格式：根据表格.可以整理出重点IP和端口。例：如果表格表明网络向IP为25的80端口发起攻击.应该使用wireshark进行如下操作。Wireshark过滤找到重点IP和端口后.即可对wireshark的数据包进行过滤.要求只显示所需的数据。在Filter栏里写上过滤规则.回车后即可对显示结果进行过滤。过虑规则可用：ip.addr== 只显示IP地址为的数据包 只显示IP源地址为的数据包 只显示IP目的地址为的数据包http 直接输协议名.只显示HTTP协议数据包tcp.port==80 只显示TCP80端口的数据包tcp.srcport==80 只显示TCP源端口为80的数据包and 多个规则用and逻辑与相连例如.攻击监控显示该网络向IP为25、端口80发起攻击.则使用以下规则：ip.dst==andtcp.port==80.则基本可以确定发起的攻击源。内网机器处理主机网络分析对于上述找到的内网IP地址.找到此主机的物理位置.在该主机上进行详细的分析。建议使用在主机上运行TcpView〔下载或360网络连接查看器等工具查看本地的具体网络连接状况：可以定位到具体的进程名及PID。确认该进程是否是已知应用进程。如果是.找出攻击原因；如果不是.建议对主机进行全面的安全检查和加固。主机处理1.下载防病毒软件进行全面的病毒和木马查杀工作；例如360杀毒和360卫士进行全盘查杀；2.安装最新操作系统和各应用软件补丁.修复已公布的软件漏洞；3.进行全面的配置加固.开启防火墙.开启严格访问控制策略.加固用户帐号和权限管理；4.对于向外开放的应用.如WEB应用.应保证管理权限的严格控制.并进行WEB应用的加固。加强针对性的应用防护.强烈建议对WEB应用进行专业的软件或硬件进行WEB应用防护。数据综合分析使用wireshark菜单"Statics"－"Endpoints".可汇总查看网络数据包特点。IPv4标签：可以按IP、包数、字节点进行分类和排名：TCP/UDP.可按照协议