网深科技NetInside网络流量异常分析报告
1. 报告信息
报告编号
NS-20250711-ANOMALY-021
报告时间
2025-07-11
分析工具
NetInside网络流量分析系统、Wireshark、Tshark
提供数据
流量监控图表、抓包样本、主机日志、导出表格
2. 背景信息
本报告针对生产环境中捕获的异常SNMP高频探测流量,重点分析流量行为、协议特征、来源与风险,并提出封禁与加固建议。
3. 流量发现概述
时间范围
异常流量开始:2025-07-06 21:50(UTC+8)
结束时间:2025-07-07 00:10
持续约2小时20分钟
涉及IP地址
157.238.227.173(俄罗斯Selectel数据中心)
87.245.241.9(俄罗斯/乌克兰租用段)
154.18.5.106(美国/欧洲混用VPS)
101.254.114.238(本地生产服务器)
210.176.141.101(亚太区未知来源)
主要协议
SNMP(UDP/161,高频getBulkRequest)
UDP/24680(非标准端口)
SSH(TCP/22)
HTTP(TCP/80)
4. 流量行为与趋势图
4.1 宏观趋势(全局流量分布)
下方截图展示了生产网络在2025-07-06至07-07的整体流量趋势,包含三层视角:
总体带宽变化
按来源IP统计流量
按协议类别分布
从曲线可以看到:
22:00开始,157.238.227.173与其他海外IP出现流量高峰
协议分布中UDP/161(SNMP)占绝对主导
峰值接近0.4 Mbps,持续超过1小时
图1 - NetInside三层流量趋势(总览)
4.2 微观分析(单IP与协议明细)
下方截图为157.238.227.173在同一时段的详细行为视图,包含:
主机曲线(进出流量)
网络延时(RTT)
应用协议分布(snmp-udp显著)
未知协议统计(snmp-udp流量接近100%)
重点发现:
23:00时该IP突发高频探测
SNMP流量持续占用带宽
网络延时基本平稳,对延迟影响较低
图2 - NetInside详细主机与应用分析(157.238.227.173)
5. 抓包样本分析
抓包文件显示:
协议:SNMP v2c
Community String:public(默认)
请求类型:getBulkRequest
请求频率:约每200毫秒
请求OID涵盖:系统描述、接口流量、CPU、存储、IP地址
行为模式:自动化探测
图3 - Wireshark抓包详细解码视图
6. 威胁情报关联
对157.238.227.173查询发现:
来源:Selectel数据中心(俄罗斯)
多次在AbuseIPDB、Spamhaus、AlienVault黑名单出现
关联行为:端口扫描、SNMP枚举、暴力破解
此IP为高风险探针扫描来源。
7. 风险评估
可用性影响:中
高频SNMP轮询可能增加网络设备负载
机密性风险:高
默认Community暴露系统及接口敏感信息
攻击面利用:高
可用于渗透、社工、钓鱼攻击
溯源难度:中
来源为海外云主机,封禁和取证复杂
8. 建议措施
短期封禁
请立即执行防火墙封禁:
iptables -A INPUT -s 157.238.227.173 -j DROP
iptables -A INPUT -s 87.245.241.9 -j DROP
iptables -A INPUT -s 154.18.5.106 -j DROP
SNMP安全加固
禁用SNMP v1/v2c
启用SNMP v3(AES加密+认证)
删除默认public Community
配置ACL只允许内部监控IP
限制暴露OID范围
日志与追踪
导出NetInside同时间段日志
核查设备日志与配置更改
确认是否有其他异常管理口访问
9. 结论
本次流量为非授权的高频SNMP探测,综合判定为高风险事件。建议立即封禁来源IP、完成SNMP加固并持续监控。
10. 附录与补充资料
10.1 OID清单
SNMP 请求OID清单
来源IP:157.238.227.173
目标IP:101.254.114.238
抓包时间:6秒区间
序号 | OID | 中文含义 | 类别 |
1 | 1.3.6.1.2.1.1.1.0 | 系统描述 (sysDescr) | 基本信息 |
2 | 1.3.6.1.2.1.1.2.0 | 系统对象ID (sysObjectID) | 基本信息 |
3 | 1.3.6.1.2.1.1.3.0 | 系统运行时间 (sysUpTime) | 基本信息 |
4 | 1.3.6.1.2.1.1.4.0 | 系统联系人 (sysContact) | 基本信息 |
5 | 1.3.6.1.2.1.1.5.0 | 系统名称 (sysName) | 基本信息 |
6 | 1.3.6.1.2.1.1.6.0 | 系统位置 (sysLocation) | 基本信息 |
7 | 1.3.6.1.2.1.2.1.0 | 接口数量 (ifNumber) | 接口信息 |
8 | 1.3.6.1.2.1.2.2.1.1 | 接口索引 (ifIndex) | 接口信息 |
9 | 1.3.6.1.2.1.2.2.1.2 | 接口描述 (ifDescr) | 接口信息 |
10 | 1.3.6.1.2.1.2.2.1.3 | 接口类型 (ifType) | 接口信息 |
11 | 1.3.6.1.2.1.2.2.1.5 | 接口速度 (ifSpeed) | 接口信息 |
12 | 1.3.6.1.2.1.2.2.1.6 | 接口MAC地址 (ifPhysAddress) | 接口信息 |
13 | 1.3.6.1.2.1.2.2.1.8 | 接口状态 (ifOperStatus) | 接口信息 |
14 | 1.3.6.1.2.1.2.2.1.10 | 接口输入字节数 (ifInOctets) | 流量统计 |
15 | 1.3.6.1.2.1.2.2.1.16 | 接口输出字节数 (ifOutOctets) | 流量统计 |
16 | 1.3.6.1.2.1.4.20.1.1 | IP地址 (ipAdEntAddr) | IP信息 |
17 | 1.3.6.1.2.1.4.20.1.2 | IP地址对应接口索引 (ipAdEntIfIndex) | IP信息 |
18 | 1.3.6.1.2.1.4.20.1.3 | IP地址掩码 (ipAdEntNetMask) | IP信息 |
19 | 1.3.6.1.2.1.25.1.1.0 | 主机启动时间 (hrSystemUptime) | 主机信息 |
20 | 1.3.6.1.2.1.25.2.3.1.2 | 存储描述 (hrStorageDescr) | 存储信息 |
21 | 1.3.6.1.2.1.25.2.3.1.3 | 存储类型 (hrStorageType) | 存储信息 |
22 | 1.3.6.1.2.1.25.2.3.1.4 | 存储分配单位 (hrStorageAllocationUnits) | 存储信息 |
23 | 1.3.6.1.2.1.25.2.3.1.5 | 存储总容量 (hrStorageSize) | 存储信息 |
24 | 1.3.6.1.2.1.25.2.3.1.6 | 存储使用量 (hrStorageUsed) | 存储信息 |
25 | 1.3.6.1.2.1.25.3.3.1.2 | CPU利用率 (hrProcessorLoad) | 主机信息 |
26 | 1.3.6.1.2.1.25.3.2.1.3 | 设备ID (hrDeviceID) | 主机信息 |
10.2 NetInside流量截图
NetInside三层流量趋势(总览)
NetInside详细主机与应用分析(157.238.227.173)
10.3 流量清单
名称 | 吞吐量(总和)[kbps] | 吞吐量(流入)[kbps] | 吞吐量(流出)[kbps] | 字节数(总和)[MB] | 字节数(入向)[MB] | 字节数(出向)[MB] |
101.254.114.238 | 254.327 | 8.17 | 246.156 | 334.712 | 10.752 | 323.959 |
157.238.227.173 | 147.137 | 142.829 | 4.308 | 193.642 | 187.973 | 5.669 |
87.245.241.9 | 22.416 | 21.76 | 0.656 | 29.501 | 28.638 | 0.863 |
210.176.141.101 | 19.867 | 19.281 | 0.585 | 26.146 | 25.376 | 0.771 |
154.18.5.106 | 19.659 | 19.078 | 0.581 | 25.872 | 25.107 | 0.765 |
101.254.114.239 | 15.32 | 10.997 | 4.323 | 20.162 | 14.472 | 5.69 |
101.254.114.240 | 12.888 | 5.739 | 7.149 | 16.961 | 7.553 | 9.409 |
103.99.106.30 | 8.329 | 8.043 | 0.286 | 10.962 | 10.585 | 0.377 |
77.83.38.138 | 7.205 | 6.964 | 0.242 | 9.483 | 9.165 | 0.318 |
1.202.187.84 | 6.46 | 0.497 | 5.963 | 8.502 | 0.654 | 7.848 |
36.163.192.74 | 5.167 | 2.944 | 2.223 | 6.8 | 3.874 | 2.926 |
36.189.207.209 | 3.857 | 2.072 | 1.786 | 5.077 | 2.726 | 2.35 |
103.255.238.9 | 3.269 | 3.174 | 0.095 | 4.302 | 4.177 | 0.125 |
1.202.187.85 | 2.989 | 0.531 | 2.458 | 3.934 | 0.698 | 3.235 |
101.254.114.237 | 2.779 | 1.551 | 1.228 | 3.658 | 2.042 | 1.616 |
14.103.126.104 | 1.817 | 1.025 | 0.792 | 2.391 | 1.349 | 1.042 |
117.72.52.28 | 1.77 | 0.984 | 0.786 | 2.329 | 1.295 | 1.034 |
171.115.220.116 | 1.623 | 0.875 | 0.748 | 2.136 | 1.152 | 0.984 |
103.255.238.8 | 1.375 | 1.336 | 0.04 | 1.81 | 1.758 | 0.052 |
103.255.238.10 | 1.36 | 1.32 | 0.039 | 1.789 | 1.737 | 0.052 |
【完】