请问诊断的D2的D3抓包题怎么看？

zhuang_90

输入HTTP找到带有GET的那个包，源就是受害者。

jjandtmac

庞宏涛 发表于 2018-9-27 13:46
0 J# {4 _% D- M' G! S) o5 C: m! L大神，我再问下，如果能区分攻击者和被攻击者，答案应该怎么看    我看有三套答案

第一条为TCP connection from the router to 攻击者
第二条为Download of a TCL Script in memory via HTTP
2 |0 g4 ?* {% n) X$ _6 R2 T第三条为TCP connection from a remote host to the router's IP address 被攻击者 on port 1337
( i, ^; s* T2 G& E第四条为Installment of a ransomware via a backdoor

mango007

jjandtmac 发表于 2018-9-29 17:04
) C3 W8 }5 p' u" `% N0 L第一条为TCP connection from the router to 攻击者
第二条为Download of a TCL Script in memory via H ...

5 ~. N: Y/ H, l, W4 G0 x太感谢了     

mango007

zhuang_90 发表于 2018-9-29 10:04
输入HTTP找到带有GET的那个包，源就是受害者。

谢谢

mango007

jjandtmac 发表于 2018-9-29 17:04
第一条为TCP connection from the router to 攻击者
2 U% m) B' Z2 q; \第二条为Download of a TCL Script in memory via H ...

请问还有一个是没有from the router的那套答案吧    还有第一个两个ip地址  是那个到哪个

jjandtmac

庞宏涛 发表于 2018-9-30 19:11
. C7 X/ p. N4 a/ U请问还有一个是没有from the router的那套答案吧    还有第一个两个ip地址  是那个到哪个

我这里貌似就这一个答案，没有其他版本，只要区分攻击者和被攻击者就行了

mango007

jjandtmac 发表于 2018-10-3 12:54
& C! t0 Q  Z, t! w, |我这里貌似就这一个答案，没有其他版本，只要区分攻击者和被攻击者就行了

好的谢谢