上网监控记录异常的案例分析
文档编号:810
浏览:4967 评分:7
最后更新于:2010-12-30
问题:
在查看上网监控记录的时候,经常发现一个内网不在的地址的会话,清除该地址会话后再刷新,发现又有新的会话了,这到底是怎么回事?难道是电脑中毒了?还是?如下图:
解决方法:
1、 仔细查看会话,发现这些会话都有一个特点,就是上传数据包没有,下载数据包有计数。再根据问题现象,一个不存在的内网地址?这说明内网主机没有主动发起会话请求,全部是外网主动访问的会话?
2、 但是外网是不可能直接访问到外网的,除非做了NAT静态映射或者DMZ主机,我们再根解据会话的端口发现,是随机的端口,因此判断一定不是做了静态映射的原因,因此我们查看NAT全局配置发现原来设置了DMZ主机10.2.2.1这个地址,重新改为0.0.0.0后再查看会话,便没有此地址的会话产生了。
3、 这样我们就明白了为什么会出现之前所描述的现象了,设置了DMZ主机后,代表所有的端口都映射出去了,由于内网本身没有10.2.2.1这个地址,所以也就产生了没有上传数据包,只有下载数据包的现象了。也是因为设置了DMZ主机,所以清除了NAT会话后再查看仍然能查看到会话了。
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号