当网络遭受攻击时，如何快速找出真凶？

信息安全公益宣传，信息安全知识启蒙。

教程列表见微信公众号底部菜单

网络攻击是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。

网络信息系统所面临而对威胁来自很多方面，而且会随着时间的变化而变化。从宏观上看，这些威胁可分为人为威胁和自然威胁。

自然威胁来自与各种自然灾害、恶劣的场地环境、电磁干扰、网络设备的自然老化等。这些威胁是无目的的，但会对网络通信系统造成损害，危及通信安全。而人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。两者相比，精心设计的人为攻击威胁难防备、种类多、数量大。从对信息的破坏性上看，攻击类型可以分为被动攻击和主动攻击。

详细了解网络攻击→网络攻击

在多年的IDC机房维护过程中，服务器不定期的遭受各种人士的来访。来访的方式一般有两种：

1、DDOS攻击

2、利用系统漏洞植入后台程序

对于第一种情况，危害比较大，直接把入口堵死。但对服务器本身的伤害比较小。但第二种就很严重了，如果他入侵了web服务器，就可以直接访问后台数据库。一定要谨慎。

如果当遭受攻击，而你的整个防护设备中又没有入侵检测和流量分析设备。如何找出肇事者呢？这个时候使用开源的工具也可以。

方法如下：

在连接到防火墙内网口的核心交换机端口上启用SPAN（端口镜像），在目的端口上使用wireshark进行数据分析。很多人只知道wireshark可以抓包，可以看到数据包里面的内容。其实它还有一个很重要的功能就是以会话的方式统计数据流量。并进行排名。

至于交换机上的SPAN配置我这里就说明了。大家可以查找网上资料。下面是在wireshark上如何查看：

当然你先得开始数据包捕获功能。打开“conversation”后，可以看到如下，点击IPV4，最上面的按钮是排序用的。可以看出，当前哪些人正在访问你。source和destination都有了。

如果source的数据量过大，基本就可以断定是肇事者。可以使用很多方法进行过滤了。