注册
个人空间
22)数据包分析:
我通过tfn2k的服务器端攻击10.5.3.61时,根据snort截获的数据包,分析如下:
UDP flood:
数据包特征:
1)很多不同的IP(伪造的)向同一台服务器发送数据包,不管是哪个国家的都有;
2)数据包的长度很小;
3)类型:type:0x800
5)IpLen:20--很整齐
6)DgmLen:29--很整齐
7)TTL在不断变化,且大部分不是32、64、128等
8)没有ack和win信息
9)以下为截获的数据包样本:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
IP Len field is 17 bytes smaller than captured length.
(ip.len: 29, cap.len: 46)
08/10-13:28:56.271396 200.14.100.0:18548 -> 10.5.3.61:46988
UDP TTL:250 TOS:0x0 ID:47561 IpLen:20 DgmLen:29
Len: 1
00 .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
IP Len field is 17 bytes smaller than captured length.
(ip.len: 29, cap.len: 46)
08/10-13:28:56.271414 170.105.35.0:8488 -> 10.5.3.61:57048
UDP TTL:219 TOS:0x0 ID:36174 IpLen:20 DgmLen:29
Len: 1
00 .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
IP Len field is 17 bytes smaller than captured length.
(ip.len: 29, cap.len: 46)
08/10-13:28:56.271431 62.221.51.0:8487 -> 10.5.3.61:57049
UDP TTL:239 TOS:0x0 ID:17909 IpLen:20 DgmLen:29
Len: 1
00 .
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
ICMP/ping flood:
数据包特征:
1)很多不同的IP(伪造的)向同一台服务器发送数据包,不管是哪个国家的都有;
2)数据包长度很小;
3)类型:type:0x800
4)IpLen:20--很整齐
5)DgmLen:40--很整齐
7:TTL在不断变化,且大部分不是32、64、128等
8)没有ack信息,没有win信息;
9)以下为包的样本:
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
08/10-12:47:32.874702 0:C:29:A3:44:A7 -> 0:13:72:78:9D:27 type:0x800 len:0x3C
| 论坛热门帖子: | [lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了,有点迷茫,应该再学些什么提高自己的测试水平和测试能力呢?(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍,希望对大家有用(10-18) |
| TAG标签: | 全文 网络 架构 攻击 安装 数据 服务器 echo 保存 include |
