范伟导老师Sniffer课程资料(四)

　　我们注意到这台机器向公网发出大量的ICMP包，那是在作什么？（同学们：在ping)

　　对！PING采用ICMP协议，ping可以用来扫描，也可以用来攻击。

　　扫描就是看那一台机器活着，接着扫描端口，在攻击，所以扫描是攻击主机的前奏。

　　另外 ，还可以用ping 来冲击路由器，或占用带宽，是一种DOS攻击。

　　大家看这个过程更像哪一种类型。

　　（同学们：扫描，DOS攻击）

　　一般情况下，扫描会是比较连续的地址，我们看这个地址并不连续，我们先排除扫描，当然不是绝对的，也有比较聪明的扫描。

　　有同学说，这是DOS攻击，那是冲击路由器，还是占用带宽？

　　（同学们：冲击路由器）

　　嘿，这次比较统一，我也觉得他在冲击路由器，我们看，他的目标地址基本不在一个网段，这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。所以对路由器有一定冲击。

　　一般来说，如果他想占用带宽的话，会发大包，我们发现，包的长度不大，并且一秒钟才发10几个包，所以对贷款冲击不大。

　　或许大家会觉得这没秒10几个包对路由器冲击也不大呀。大家想像一下，如果有很多机器在作这个操作，那影响就会很大。

　　大家自己在找一找，是否还有其他机器在作同类事情。

　　（同学们找出7台这样的机器）

　　好大家找出7台这样的机器，怎么找出来的？有同学用钢材的办法，有同学用过滤，都市好办法。

　　现在假设在你们的网络中出现这样的情况，我们发现了异常，接下来怎么做？

　　（同学们：找到这台机器）

　　然后呢？

　　我们可以看看这台机器的任务管理器，看看有什么不常见的进程，把他去掉，看是否解决。在看其他的机器，是否有类似的特征。