0
太阳城娱乐网最快登入

我的帖子

个人中心

设置

  发新话题
本文来源:http://www.2233122.com/www_jinghua_com/

太阳城娱乐网最快登入,作者:编辑:未网新闻王慧君未来网为中央新闻网站如有新闻线索请发至邮箱:wlwnews@163.com其自动刷票功能比较方便,购票者不需一直守在电脑旁,有余票后会自动提示。河南郑州电子信息职业技术学院招生办主任张述建回应上游新闻-重庆晨报记者称,此事系当初招生的程序出了问题所致。在这一过程中,飞行器就像被一股神秘的力量柔和地托起,被称为“地面效应”为“上帝之手”。

近一年来,全国新增37个景区实行免费开放或阶段性免费开放,另有35个景区主动降低了门票价格。  他分析,很多城市之所以推广使用雾炮车,系出于商业原因。  半小时观察将产量优势转化为品质优势根据国家统计局的数据:2015年全国粮食总产量达到6.2亿多吨,同比增长2.4%,中国粮食产量历史性地实现“十二连增”。  此时如果撤销该注册商标,就会严重损害商标注册使用人的商业利益,从法律上就对在先权利人撤销权的行使进行了适当的限制。

招商证券预计,深港通开通后,短期内资金南下的热情更高,A股“资产荒”与人民币贬值的大背景是资金南下的主要动因。会议期间,中外与会人员还参观访问了广州开发区、深圳华为公司、广东自由贸易试验区前海蛇口片区、珠海横琴新区片区,并举办了经贸旅游交流推介活动。又如,交易报价系统里同样的颜色,在A股和港股中的含义完全不同。(实习编译:沈张曦审稿:刘洋)'/>

前几天,客户给我电话,说某下属单位上不了网了,远程登录上去路由器查看,发现这样的警告
复制内容到剪贴板
代码:
%CGN% Ports utilization in pat pool reached the threshold.  Pool-name=bangong; Pool-id=1; Protocol=TCP; Current=87%; threshold=80%
查看NAT地址池发现,PAT端口转换被占满了,生平第一次遇到
复制内容到剪贴板
代码:
Pool Name
       Type  IP Count   Used TCP Port(%)   Used UDP Port(%)   Used IP/ICMP ID(%)
================================================================================
Loading data from MPFU-13/0 ...
================================================================================
bangong
        PAT         1    65,535(100.00%)       3,711(5.66%)             0(0.00%)
远程看不出什么来,只能去现场了,来到本地那首先当然是先了解基本网络环境。

跟网管人员谈话了解到大致拓扑,网络规模。办公地电脑只有几十台,有监控区,但是监控不上网的。



然后开始抓包呗,直接在路由器内网口做镜像抓包分析:









=================================================================================
总结:最后知道是勒索病毒搞鬼,所以在防火墙封掉445端口,使路由器的PAT端口占用恢复正常,恢复正常网络,不影响业务,然后下载勒索病毒专杀工具,一台台电脑断网查杀。

本帖最近评分记录
  • lygzhan 无忧币 +10 精品文章 2019-3-16 15:40
  • lover119 无忧币 +10 精品文章 2019-3-15 18:01
  • redhat9i 无忧币 +10 精品文章 2019-3-15 09:16



本帖最后由 erfdcv 于 2019-3-21 19:57 编辑
学习了,抓包还是看不懂



从哪里可以点赞



感谢大牛分享,貌似思路还没分享



引用:
原帖由 luqing1992 于 2019-3-15 09:05 发表
感谢大牛分享,貌似思路还没分享
看图里的文字



引用:
原帖由 蓝色的風 于 2019-3-15 08:22 发表
学习了,抓包还是看不懂
抓包是手段不是目的,关键是从大量数据包里筛选出自己想要的信息,然后按照自己的知识、经验判断出问题所在。



感谢楼主的分享,能否分享一下中文版的抓包工具,非常感谢!



引用:
原帖由 寻梦的人 于 2019-3-15 15:26 发表
感谢楼主的分享,能否分享一下中文版的抓包工具,非常感谢!
看软件标题栏,科来技术交流版,官网是免费的



同求软件,没找到,科来官方网站打开太慢了






一般来说,一个正常的局域网内不该出现针对单一端口的超量访问情况

以及针对超量端口的超量访问



家用小路由器的WAN口是固化NAT转换的,单向,只向上转,无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口,网线改插小路由器LAN口,关闭小路由器的DHCP服务,当交换机用。坚决使用WAN口的话,就只能那样了。

关于DMZ打印机,请看这里“点击进入”6楼看看。
楼主分析的很好,在下有两个小疑问请教:
1.碰到这个情况,楼主为什么不在路由器内口做镜像进行抓包,而选择外口呢?两个做法区别在哪里呢?
2.针对445端口的gongji,应该不止是勒索病毒吧.楼主是如何确认不是其他病毒呢?




本帖最后由 zergwyk 于 2019-3-18 15:15 编辑



引用:
原帖由 zergwyk 于 2019-3-18 15:00 发表
楼主分析的很好,在下有两个小疑问请教:
1.碰到这个情况,楼主为什么不在路由器内口做镜像进行抓包,而选择外口呢?两个做法区别在哪里呢?
2.针对445端口的gongji,应该不止是勒索病毒吧.楼主是如何确认不是其他病毒呢? ...
1:我就是在路由器内网口镜像的啊,在外网口都经过NAT了,你看不到内网IP的。
2:现在勒索病毒都是复合型病毒,也可能是同时勒索病毒也可能是DDoS肉鸡,简单啊,看数据包都是445端口,而且流量很小,就是数据包很多,如果是DDoS***,流量很大的。



螃蟹V5,谁能解密。嘿嘿



引用:
原帖由 erfdcv 于 2019-3-18 17:10 发表

1:我就是在路由器内网口镜像的啊,在外网口都经过NAT了,你看不到内网IP的。
2:现在勒索病毒都是复合型病毒,也可能是同时勒索病毒也可能是DDoS肉鸡,简单啊,看数据包都是445端口,而且流量很小,就是数据包很多,如果是DDoS***,流量 ...
谢谢楼主授业解惑,哈哈



请教:
1.抓包工具是wareshake吗
2.我有一个疑问,内网中毒的pc,大量发送对外网ip群的445端口的连接请求,导致pat的65534全满了。那你的意思是说,如果做一个工具,随便写一个端口比如888,对外网发送类似规模的链接请求,就会将pat沾满导致外网不能转换? 真的是这样吗?或者说,比如网络规模大到有65535个pc在同时跟互联网交换数据,网络就瘫了?



引用:
原帖由 jaycome 于 2019-3-21 11:55 发表
请教:
1.抓包工具是wareshake吗
2.我有一个疑问,内网中毒的pc,大量发送对外网ip群的445端口的连接请求,导致pat的65534全满了。那你的意思是说,如果做一个工具,随便写一个端口比如888,对外网发送类似规模的链接请求,就会将pat ...
1:是国产抓包软件,科来网络分析系统,个人免费,对比wireshark的好处是,界面直观,帮你统计好各种数据,并以图表展现出来。

2:中了勒索病毒,它要去感染其他主机,所以会往外网扫描,数据包太多,就把NAT的连接数用完了啊,具体你百度PAT(网络地址端口转换)了解相关知识。

一个公网IP给内网NAT代理上网,大概支持65535个TCP和65535个UDP连接(包含1024个端口)。所以如果一个局域网电脑太多,1个公网IP是不够用的。当然,后来为了解决这个问题,很多厂家又搞了一些技术,那就是另外的一个话题了。推荐你看一篇文章《H3C防火墙NAT“无限次”转换》,里面解释的很清楚。




本帖最后由 erfdcv 于 2019-3-21 19:48 编辑
收藏起来……学习了




MARK



‹‹ 上一贴:求助,怎么实现多人联合办公   |   下一贴:WIFI数据和有线数据能分开吗? ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 太阳城娱乐网最快登入 www.2233122.com
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@太阳城娱乐网最快登入 www.2233122.com
菲律宾申博电子游戏登入 申博官网开户登入 www.sb87.com www.tyc599.com www.8181msc.com 申博游戏下载官方登入
申博电子游戏备用网址 申博138官网直营 申博太阳城游戏 太阳城管理网 太阳城申博桌面安装版下载 申博登录网址
申博怎么申请提款 菲律宾太阳娱乐游戏登入 太阳城申博娱乐城登入 77msc申博登入 www.662588.com 菲律宾申博老虎机直营