之前下载文件被判断为攻击的问题
不知道解决了没有
在本地下载文件时的TCP流量走向:
本地非常用端口 <<<<<<<<<<<<< 远程80端口
而被攻击时的流量走向:
本地80或者其他常用端口 <<<<<<<<<<<<< 远程非常用端口
发起攻击时的流量走向:
本地非常用端口 >>>>>>>>>>> 远程80或者其他常用端口
远程机器下载本机文件时的流量走向:
本地80端口 >>>>>>>>>>> 远程非常用端口
以上所说的80是一般情况,有些时候这个可能会是FTP端口,也可能是其他端口走的HTTP,这时候再判断下远程端口,不会影响结果。
除了判断流量走向和流量大小,还需要分析一下来源,比如本地被攻击时可能会有多个IP源打到本地的80端口。
如果是icmp包,就没有端口的问题了。
以前根据这些思路写过一个脚本,分析本地被攻击的IP或者本地发起攻击的IP,用了几年,准确率很高。
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答