问题[packet](server)

我们的服务器遭到入侵，我们想知道哪些帐户从我们的服务器发送了恶意查询。我用 tcpdump 来得到这个：

 our.host.net.48194 > box5596.bluehost.com.http: Flags [P.], cksum 0x0bf8 (incorrect -> 0x5061), seq 0:741, ack 1, win 229, options [nop,nop,TS val 260555861 ecr 3817788688], length 741: HTTP, length: 741
    POST /xmlrpc.php HTTP/1.1
    Host: www.devynamaya.com
    User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0
    Content-Length: 484
    Content-Type: application/x-www-form-urlencoded
    Accept-Encoding: gzip
    Connection: close
    
    <?xml version="1.0"?><methodCall><methodName>system.multicall</methodName><params><param><value><array><data><value><struct><member><name>methodName</name><value><string>wp.getUsersBlogs</string></value></member><member><name>params</name><value><array><data><value><array><data><value><string>admin</string></value><value><string>password123</string></value></data></array></value></data></array></value></member></struct></value></data></array></value></param></params></methodCall>[!http]

另一方面，我安装了不同的其他工具，例如，，clamav...等。对于 tcpdump 数据包，我使用.chrootkitrkhunterwireshark

问题是我似乎找不到发送该数据包的用户，因此我可以暂停他们的 cpanel 帐户。

是否有任何工具可以帮助跟踪被入侵的帐户？我们在这台服务器上有数百名用户，这就像大海捞针。

如果我不知道哪个客户端的网站受到攻击，那么分析数据包将毫无用处。

谢谢 ！

我想捕获路由器的所有流量我只能通过 wifi 连接，没有物理访问权限，我可以访问路由器的配置页面

我最近在我们的学校网络上遇到了麻烦。浏览互联网时，用户通常会从浏览器收到一条错误消息，说“没有互联网 DNS_PROBE_FINISHED_NXDOMAIN”，但是当他们刷新页面时会加载。起初我怀疑我们的 dns 服务器，因为页面无法解析。我尝试了几种不同的方法，但没有发现任何区别。我打电话给我们的供应商，但他们说有大量的网络流量被发送到调制解调器。

在监控网络流量时，几乎总是有几台计算机发送大量数据包。它们似乎总是不同的计算机。我可以看到实验室中的计算机，通常是学生没有打开浏览器运行 Mavis Beacon 或其他不使用互联网的东西。我们所有的计算机都运行 Windows 10。流量总是来自某些内容交付网络，例如 akamiedge、amazonaws 或 edgecastcdn。

我曾尝试研究过这个问题，但大多数人说这些是微软用来下载更新的无害内容交付网络。我已将所有学校计算机设置为接收来自带有 WSUS 的 Windows Server 2012 R2 的所有更新，因此他们不应该从 Microsoft 下载任何更新。

我有一个 Netgear ProSAFE 防火墙，它设置了 Block TCP 和 UDP Floods，使其保持默认限制。我曾尝试检查某些 pc 上的后台进程以了解网络使用情况。Chrome 一直在使用大约 0.1mbps，有些以及“来自 Microsoft 后台任务主机”和“来自 microsoft 下载\上传主机”。Adobe 有一些背景资料，但并非所有计算机都安装了这些资料。

我不知道该尝试什么并担心服务器或路由器上的一些广告软件，因为这种流量似乎来自所有计算机。大约一个月前突然发生了这种情况，我无法追踪到任何特别的事情。将不胜感激任何建议。谢谢！

我将过滤到我的服务器的 Ping 请求，并且只接受长度为 920 的 ping 请求。

ping -l 920 serrveraddress

我在 iptables 中使用以下两个命令

iptables -A INPUT -p icmp -m length --length 1:920 -j ACCEPT
iptables -A INPUT -p icmp -j DROP

但它接受所有 ping 请求。你能指导我解决这个问题吗？

非常感谢

你们中的一些人可能知道，我正在设置一个交换服务器。

现在我遇到了另一个问题：
我无法从服务器外部连接到 SMTP 服务！

端口在网关设备（ZyXEL USG50）中打开，Windows 防火墙关闭。

我看到数据包通过 ZyXEL 防火墙传输，我也可以在服务器上看到带有 wireshark 的数据包，所以我知道它们一直在进入服务器。

我也知道它会收到它们，并发出回复 - 这就是事情变得糟糕的地方！

使用 wireshark 进行分析，我在返回数据包中收到以下错误：

Header checksum: 0x0000 [incorrect, should be 0x0779 (may be caused by "IP checksum offload"?)]
和：
Acknowledgment Number: 0x8e3337d1 [should be 0x00000000 because ACK flag is not set]

到底发生了什么（对不起我的法语）？
我真的想不通。。

提前致谢。

我用 tcpdump 捕获了这个数据包，但我不确定如何使用 --hex-string 参数来匹配数据包。有人可以告诉我该怎么做吗？

11:18:26.614537 IP (tos 0x0, ttl 17, id 19245, offset 0, flags [DF], proto UDP (17), length 37)
    x.x.187.207.1234 > x.x.152.202.6543: [no cksum] UDP, length 9
        0x0000:  f46d 0425 b202 000a b853 22cc 0800 4500  .m.%.....S"...E.
        0x0010:  0025 4b2d 4000 1111 0442 5ebe bbcf 6701  .%[email protected]^...g.
        0x0020:  98ca 697d 6989 0011 0000 ffff ffff 5630  ..i}i.........V0
        0x0030:  3230 3300 0000 0000 0000 0000            203.........

有什么办法吗？

我们正在考虑购买 Fortigate 100D，但不确定它是否能满足我们的要求。

http://www.fortinet.com/products/fortigate/100D.html

虽然 1518 字节的防火墙吞吐量看起来不错 (2.5 Gbps)，但在 64 字节 (200 Mbps) 时似乎下降了很多。

我们有大约 30 台活动计算机，但只有 4-5 台真正使用 8x5 网络。

我想平均查看我们的数据包大小，以判断我们需要哪种模型。