#原创分享#数据包分析入门（2）---从网络会话分析定位异常访问行为

什么时候需要通过网络会话分析，来定位网络中的异常访问？

       通过防火墙、IPS、IDS等安全设备可以快速定位到内网出现异常访问的行为，但有些情况下，例如：对应的安全特征库没有及时更新，又或者安全策略没有做到位，这时候安全设备上不会有对应的检测及防护日志，就可以通过网络会话分析定位异常访问行为。

如何从网络会话分析定位异常访问行为？

1.通过网络通讯时间，定位异常访问

如下图所示，在21:54分客户端有大量通信行为，与客户沟通后得知，对应的办公室已下班，正常情况下不会有任何的发包行为。

2.通过业务访问需求及服务器地理位置，定位异常行为

如下图所示，与客户沟通后得知，他们相关办公业务无需访问以下国外域名。

3.通过客户端与服务器的数据包交付情况，定位异常行为

如下图所示，第一张图表明客户端与服务器之间TCP会话建立失败（三次握手失败），第二张图表明客户端在TCP建立连接失败的情况下，还有大量的访问，可以判断是由程序或脚本发起的访问，而非人为访问；并且管理员与终端使用人确认过，即使有大量的TCP连接建立失败，但并没有出现任何业务访问故障。

定位出对异常行为后，如何进行紧急处理？

对终端进行进行杀毒，如果杀毒未检测出有异常行为，可以通过终端内置防火墙，或者微隔离措施，如信锐交换机的边界终端安全管控

楼主分享的案列说明了针对数据包怎么去理解和分析，定位分析了在网络出现异常以及针对异常数据如何分析和应对，但对于案列是什么样的问题，针对异常进行的分析讲解如果可以详细一下就比较充分了。楼主整体著作非常用心详尽，期待楼主的继续分享

您好，感谢您参与社区原创分享计划8，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

感谢分享

感谢楼主分享

感谢楼主分享

感谢分享

感谢楼主分享

感谢分享

感谢分享