政府流量分析案例

地点:某政府事业单位

测试工具:科来回溯分析系统

事件:发现大量异常数据包,客户端发送SYN请求被单方面RST断开。如下图所示:

image.webp

结论:有三种可能

          第一:这个客户端没有权限访问,被安全设备阻断了,可能性大一点,感觉像是防火墙发了RST包拦了

          第二:服务器9988端口现在已经不提供服务了,换了端口,但是客户端没有及时调整,还在连停用端口

          第三:看一下客户端是不是只和这一个服务器的9988端口在尝试建链,如果是和网段里面每个IP都尝试建链,那就可能是中毒了