2005-11-29 14:44
生产队的小鸭子
请问这种现象算不算是445端口攻击?
日志发现acl deny445端口的信息:如下:
Nov 24 16:34:34: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3035) -> 192.168.0.132(44
5), 1 packet
Nov 24 16:39:58: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3035) -> 192.168.0.132(44
5), 2 packets
Nov 24 16:59:39: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3044) -> 192.168.0.132(44
5), 1 packet
Nov 24 17:04:58: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3044) -> 192.168.0.132(44
但是统计发现:
一个源地址 只会对一个特定的目标地址(这个目标地址要么是一个192.168.a.b的不存在的地址,要么是一个他网段的地址) 发起tcp 445的session ,而且很频繁。(源地址不会对应多个杂乱的目的地址发起445端口的连接)
这到底是正常的应用还是病毒的现象?
如果是正常访问,为什么有的目的地址是192.168这种不存在的地址呢?
而且cpu的中断很高。网络也有延迟和停顿,不知道是不是这个造成的?
日志发现acl deny445端口的信息:如下:
Nov 24 16:34:34: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3035) -> 192.168.0.132(44
5), 1 packet
Nov 24 16:39:58: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3035) -> 192.168.0.132(44
5), 2 packets
Nov 24 16:59:39: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3044) -> 192.168.0.132(44
5), 1 packet
Nov 24 17:04:58: %SEC-6-IPACCESSLOGP: list netkiller denied tcp 163.2.1.73(3044) -> 192.168.0.132(44
但是统计发现:
一个源地址 只会对一个特定的目标地址(这个目标地址要么是一个192.168.a.b的不存在的地址,要么是一个他网段的地址) 发起tcp 445的session ,而且很频繁。(源地址不会对应多个杂乱的目的地址发起445端口的连接)
这到底是正常的应用还是病毒的现象?
如果是正常访问,为什么有的目的地址是192.168这种不存在的地址呢?
而且cpu的中断很高。网络也有延迟和停顿,不知道是不是这个造成的?
2005-11-29 15:18
charly
肯定是
我碰到不要太多。
我碰到不要太多。
2005-11-29 16:07
生产队的小鸭子
我很奇怪 源并没有将连接发送到不同的地址,而是几天来一直针对一个固定的ip地址。
这是为什么呢?
这种现象可能是445端口上面的那种病毒或哪个漏洞啊?
这是为什么呢?
这种现象可能是445端口上面的那种病毒或哪个漏洞啊?
2005-11-29 22:15
maya1979
利用445端口的病毒很多呀!
2005-11-29 22:16
updownman
445断口一般在防火墙里都屏弊!
2005-11-30 08:37
boot
源地址存在吧,此主机应该中病毒了。
页: [1]
查看完整版本: 请问这种现象算不算是445端口攻击?
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.