2024年2月20日发(作者:)

wireshark可疑网络攻击处理方式

The Standardization Office was revised on the afternoon of December 13, 2020

1. Wireshark安装使用

1.1 下载wireshark

Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。我们使用wireshark在网络出口处抓包并进行针对性分析工作。

Wireshark是开源免费的,可以在官方网站上下载,目前最新版本是,下载地址为。国内有netexpert修改的中文内核版,可分析包含中文的数据封包,下载地址为。

1.2 安装wireshark

下载好的安装程序

双击安装

不要更改默认设置,一直Next下去,很快即可安装成功。

Wireshark需要winpcap的支持,会自动安装WinPcap。如果主机已安装WinPcap,这一步可取消勾选。

1.3 启动wireshark

在“开始”-“程序”菜单里找到wireshark,点击启动。启动后如图所示:

1.4 开始抓包

点击“Capture”-“Interface”,将显示所有可用的网络接口:

点击相应网卡的“Start”按钮之后,系统将开始抓包:

提取电信提供的攻击数据特征,特征表格可能会如下格式:

根据表格,可以整理出重点IP和端口。

2. Wireshark过滤

找到重点IP和端口后,即可对wireshark的数据包进行过滤,要求只显示所需的数据。

在Filter栏里写上过滤规则,回车后即可对显示结果进行过滤。

过虑规则可用:

==

http

直接输协议名,只显示HTTP协议数据

==80

==80

and

====80

只显示TCP80端口的数据包

只显示TCP源端口为80的数据包

多个规则用and逻辑与相连

,则基本可以确定发起的攻击源。

3. 内网机器处理

3.1 主机网络分析

对于上述找到的内网IP地址,找到此主机的物理位置,在该主机上进行详细的分析。

建议使用在主机上运行TcpView(下载)或360网络连接查看器等工具查看本地的具体网络连接状况:

可以定位到具体的进程名及PID。确认该进程是否是已知应用进程。如果是,找出攻击原因;如果不是,建议对主机进行全面的安全检查和加固。

3.2 主机处理

1,下载防病毒软件进行全面的病毒和木马查杀工作;例如360杀毒和360卫士进行全盘查杀;

2,安装最新操作系统和各应用软件补丁,修复已公布的软件漏洞;

3,进行全面的配置加固,开启防火墙,开启严格访问控制策略,加固用户帐号和权限管理;

4,对于向外开放的应用,如WEB应用,应保证管理权限的严格控制,并进行WEB应用的加固。加强针对性的应用防护,强烈建议对WEB应用进行专业的软件或硬件进行WEB应用防护。

4. 数据综合分析

使用wireshark菜单“Statics”-“Endpoints”,可汇总查看网络数据包特点。

IPv4标签:可以按IP、包数、字节点进行分类和排名:

TCP/UDP,可按照协议类型、端口进行分析排名:

5. 重新验证

完成处理与加固之后,重新对该网络进行抓包,分析是否仍旧存在攻击特征数据包。如果存在,继续进行下一步的处理工作。