利用Pytty在海蜘蛛查看内网攻击方法.doc

利用Pytty在海蜘蛛2009版本中查看内网攻击方法用pytty登陆海蜘蛛，然后选择2.Run IPTraf K) }/ x- ?+ H. G2 _ V* J4 Z我们会看到下图界面，直接按回车即可。5 z) g# G% V- @/ y7 _( Q* z9 D0 {$ S 下载 (154.56 KB) 2010-1-6 17:13 b) _6 q6 r+ p6 C. h% L. |( q- g* w! k接下来选择LAN station monitor回车。4 B5 J5 L# U% u9 [) `, H4 w2 H: E1 f X _ D 下载 (139.31 KB) 2010-1-6 17:13 % B C7 k! S$ v3 Y I- |- A5 |) i! g4 K! i6 j??g$ B回车后会提示选择网卡，然后我们选择内网卡eht0（默认eth0为内网卡）。; F/ A# u0 p! `??Q ]/ Y G, b4 J 下载 (108.5 KB) 2010-1-6 17:13 : P. b3 r5 ?3 ~- j q6 x, C! w, u然后键入“S”键，会看到如下界面，其中8 ] C+ F; q6 E0 G Y2 F: I. w% wP - total packets in q: T: v. T/ S2 ]! Z. A$ D* T8 }键入“sp”，可查看所有上传的包，默认应该是路由的mac地址排第一位，如果有其他mac地址排列在第一位就要注意下了，可能是攻击也可能是公安或文化服务器在发包。/ P9 @ M; s3 [1 g$ O3 `$ M% u6 D5 QI - IP packets in) Y \2 `: u$ j4 S2 e _8 J* T键入“si”，可查看ip包上传，搞不懂事什么意思，基本也很少用，掠过。6 N T4 \$ i; N M7 W+ U2 c H* xB - total bytes in4 s [* D9 R% ^/ r B; O% V键入“sb”，可查看上传字节最大的机器，默认应该是路由的mac地址排第一位，如果有其他mac地址排列在第一位就要注意下了，可能是攻击也可能是公安或文化服务器在发包。 |9 G C/ ^, z$ M5 ]5 y. FK - total packets out??n+ n5 E# f5 v$ k键入“sk”，可查看总的包下载，默认应该是路由的mac地址排第一位，如果有其他mac地址排列在第一位就要注意下了，可能是外网攻击。6 D) }. L3 F- c6 u N. \: D$ fO - IP packets out. z4 R0 S# h, m4 f( S+ p键入“so”，可查看ip包下载，搞不懂事什么意思，基本也很少用，掠过。6 h8 y p I0 K1 Y* FY - total bytes out H s2 Q+ y O. n5 J+ k; V V键入“sy”，可查看总的包下载，默认应该是路由的mac地址排第一位，如果有其他mac地址排列在第一位就要注意下了，可能是外网攻击。+ A0 W9 a% k3 W) r 下载 (307.56 KB) 2010-1-6 17:13 ! Y$ c+ q b; R y, P通常情况下，我们最常用的就是“sp”、“sb”、“sk”而这些功能主要是看内网是否有攻击，攻击方向为客户机=》路由器或客户机=》外网某主机。8 w6 ] Y4 B$ X) x; R7 Z% C比如我键入“sp”，我看到下图，发现有个mac地址为000fea466694的客户机在疯狂上传数据包，PktsIn数据包流量最大，而且BytesIn得流量单位已经为M了，根据mac查到这台机器是净网先锋服务器，因为我设置了景象端口，所以是正常的。* F2 F2 a: @% z同时发现排列在第二位的mac地址02ea8f2a3901就是我的路由器内网卡mac地址，因此确认并不是攻击！6 U) {: Z8 w D/ Y7 \ 下载 (299.22 KB) 2010-1-6 17:14 8 X9 ~2 x! {* q6 ^( O??p0 f1 M# W. x9 B1 `% c那么我再键入“sk”，发现路由内网卡的mac地址又排在第一位了，而PktsOut列的数字也是最大，因此证明此时内网是正常的。第二位是净网先锋服务器。/ ]% J9 s5 [% }# J: M 下载 (302.91 KB) 2010-1-6 17:14  q# W4 N1 r; I* O??h通过以上说明，如果大家理解了，基本就可以通过pytty来确定内网是否有攻击了，这个还是俺boss教俺的，教过两次，忘了两次，因为攻击是在是