分析原理
正常的基于TCP的网络流量,都是先建立TCP连接,再传输数据,然后断开连接。
而网络中经常存在中毒系统、配置错误等问题,导致网络中存在单向请求现象,这些信息也会在网络流量中体现。
NetInside自动发现大量连接请求,但对方没有响应的行为,统计为失败数。
异常行为发现
IP为172.17.254.243平均每小时发送6480个请求,其中有3600个请求失败。
异常分析
所有的异常行为都会留有网络痕迹,通过系统下载172.17.254.243的原始报文,把当时的流量拿出来做分析。
通过下载数据包分析,发现大量的请求被拒绝现象。
扫描二维码关注公众号,回复:
16402241 查看本文章
建议
根据NetInside分析系统发现的异常主机,将这些存在失败请求行为的主机网络或设备相关规则改进,或者深入到该主机查看进程。