近期去给一家客户做网络安全检测,从我们放置在客户那里的网络流量采集设备上发现,客户一个月产生了10GB的ICMP流量,而且还都是只有请求没有回应的包。感觉咋这东西流量这么大呢,然后就进行更进一步分析。 当时忘了截图,所以就只有纯文字和大家分享了。
下载了一个时段的数据包,详细查看,数据包发送很有规律,每隔2秒发一个,发12个包之后间隔20秒又开始;有的电脑是隔2秒发一个,发3个包之后间隔20秒又开始,默认的ICMP包大小是32个字节,客户那里的都是86字节的。而且请求的都是公网的一个DNS服务器地址(客户是纯内网)
综合上述原因,我们怀疑这是有软件在后台发包。随机挑了几台电脑,去现场查看,也正式了用户自己没发,前端也没看到有哪个程序在发,应该是在后台发的,那是哪个程序发的呢。
我们自己试了用cmd一直ping一个地址,任务管理器能看到cmd.exe这个进程,用netstat -ano却没有cmd的进程PID。
也试了Pc Hunter、Process Hacker都发现不了我们测试环境的发包进程-cmd.exe。有网友推荐用Procmon,恩,这工具能发现我们的ping.exe及其父进程cmd.exe和所加载的命令。但拿到有问题的终端上等待了10多分钟没看到有ping.exe及其他可疑通行或者命令。
最后我们分析,这个有可能是电脑上某个安全软件产生的,然后我们依次卸载电脑上的安全软件,最后通过反复及多台电脑观察,确认是某公司的天珣终端管理系统产生的,为何会产生这个数据包有待启明的工程师分析了。
|