【发布时间】:2017-05-18 18:51:42
【问题描述】:
诺顿告诉我。我们在您的系统上检测到大量可疑的出站流量。我可以使用哪些 Wireshark 过滤器来查找此流量。我如何知道这个可疑的出站流量正在使用哪个端口?
【问题讨论】:
标签: wireshark
【发布时间】:2017-05-18 18:51:42
【问题描述】:
使用 Wireshark,您可以通过首先过滤其 IP 地址来了解离开系统的流量类型,例如,“ip.src eq 192.168.1.100”...其中192.168.1.100 代表您系统的 IP 地址,然后查看:
- Statistics -> Protocol Hierarchy,它将为您提供有关当前流量类型以及字节、数据包等各种统计数据的高级细分。
- Statistics -> Conversations -> IPv4,它将告诉您每个 IPv4“对话”的数据包、字节等数量(您可能需要选中指示 “限制显示过滤器”的框为了仅从您的系统中隔离出站数据包)您可以右键单击对话并“应用为过滤器 -> 选择 -> ...”以隔离特定 IP 对话以进行进一步分析,您还可以查看IPv6、TCP 或 UDP 对话以及选择这些选项卡而不是 IPv4 选项卡。数据也可以按您感兴趣的任何列排序,只需单击列标题即可按该列排序。 TCP 或 UDP 选项卡将指示通信所通过的相应端口。
- Statistics -> Endpoints -> ...类似于Statistics -> Conversations,但分别列出每个端点。如果您“限制显示过滤器”,那么您将看到与您的系统通信的每个端点都列在单独的行中。
- 分析 -> 专家信息还可以为您提供一些关于您捕获的流量的额外信息,您也可以在此处“限制显示过滤器”。
嗯,希望这能让你开始。
【讨论】: