文章分析了基于TCP的网络流量正常模式,指出当系统中毒或配置错误时可能出现单向请求。NetInside检测到IP为172.17.254.243的主机每小时有半数请求失败。通过对原始报文的数据包分析,确认大量请求被拒绝。建议针对异常主机优化网络规则或进行深入的主机进程检查。
分析原理
正常的基于TCP的网络流量,都是先建立TCP连接,再传输数据,然后断开连接。
而网络中经常存在中毒系统、配置错误等问题,导致网络中存在单向请求现象,这些信息也会在网络流量中体现。
NetInside自动发现大量连接请求,但对方没有响应的行为,统计为失败数。
异常行为发现
IP为172.17.254.243平均每小时发送6480个请求,其中有3600个请求失败。
异常分析
所有的异常行为都会留有网络痕迹,通过系统下载172.17.254.243的原始报文,把当时的流量拿出来做分析。
通过下载数据包分析,发现大量的请求被拒绝现象。
建议
根据NetInside分析系统发现的异常主机,将这些存在失败请求行为的主机网络或设备相关规则改进,或者深入到该主机查看进程。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
