一例网络异常故障揪出隐藏的攻击者

来源：搜站长搜集 作者： 时间：2008-03-20 点击：

此时笔者决定定位分析这台主机，查看“会话视图”中的TCP 连接情况，发现全是该主机向目的主机的445端口发起的连接。这恰好证明了笔者的猜测：该主机可能感染了蠕虫病毒，且该病毒正在试图感染其他主机如图3。然后，笔者在“概要统计”里查看IP为10.8.24.11的主机的TCP数据包情况，发现在30分12秒的时间里，该主机共发出了29622个TCP 同步数据包，而结束数据包和复位数据包分别是3253和1387个如图4。结合以上对该主机连接的分析，笔者基本上确定了该主机感染了蠕虫病毒。

对目标毒源主机的抓包分析