RDP暴力攻击，不堪其扰

abcdwf

小服务器被暴力攻击了，这些ip到底是被控制的僵尸肉鸡，还是其他...

1. 
   
2. 2025-07-08 09:47:30        [已拦截]          远程桌面弱口令攻击,攻击者:45.134.26.142        防护 2 次
   
3. 检测到远程桌面暴力破解,攻击者:45.134.26.142
   
4. 2025-07-08 09:12:58        [已拦截]          远程桌面弱口令攻击,攻击者:47.103.20.37        防护 1 次
   
5. 检测到远程桌面暴力破解,攻击者:47.103.20.37
   
6. 2025-07-08 08:48:52        [已拦截]          远程桌面弱口令攻击,攻击者:111.231.19.187        防护 1 次
   
7. 检测到远程桌面暴力破解,攻击者:111.231.19.187
   
8. 2025-07-08 08:20:56        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.71.74        防护 1 次
   
9. 检测到远程桌面暴力破解,攻击者:175.6.71.74
   
10. 2025-07-08 07:53:00        [已拦截]          远程桌面弱口令攻击,攻击者:36.133.87.165        防护 1 次
    
11. 检测到远程桌面暴力破解,攻击者:36.133.87.165
    
12. 2025-07-08 07:38:50        [已拦截]          远程桌面弱口令攻击,攻击者:59.108.47.89        防护 1 次
    
13. 检测到远程桌面暴力破解,攻击者:59.108.47.89
    
14. 2025-07-08 07:11:57        [已拦截]          远程桌面弱口令攻击,攻击者:119.91.60.215        防护 1 次
    
15. 检测到远程桌面暴力破解,攻击者:119.91.60.215
    
16. 2025-07-08 04:22:54        [已拦截]          远程桌面弱口令攻击,攻击者:61.149.205.250        防护 1 次
    
17. 检测到远程桌面暴力破解,攻击者:61.149.205.250
    
18. 2025-07-08 04:22:41        [已拦截]          远程桌面弱口令攻击,攻击者:81.71.49.93        防护 2 次
    
19. 检测到远程桌面暴力破解,攻击者:81.71.49.93
    
20. 2025-07-08 02:02:42        [已拦截]          远程桌面弱口令攻击,攻击者:150.158.131.59        防护 1 次
    
21. 检测到远程桌面暴力破解,攻击者:150.158.131.59
    
22. 2025-07-07 23:56:43        [已拦截]          远程桌面弱口令攻击,攻击者:175.178.106.119        防护 1 次
    
23. 检测到远程桌面暴力破解,攻击者:175.178.106.119
    
24. 2025-07-07 22:29:12        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.3.225        防护 2 次
    
25. 检测到远程桌面暴力破解,攻击者:106.227.3.225
    
26. 2025-07-07 22:23:59        [已拦截]          远程桌面弱口令攻击,攻击者:49.234.178.251        防护 1 次
    
27. 检测到远程桌面暴力破解,攻击者:49.234.178.251
    
28. 2025-07-07 21:07:42        [已拦截]          远程桌面弱口令攻击,攻击者:46.19.143.50        防护 1 次
    
29. 检测到远程桌面暴力破解,攻击者:46.19.143.50
    
30. 2025-07-07 20:37:09        [已拦截]          远程桌面弱口令攻击,攻击者:43.143.236.43        防护 1 次
    
31. 检测到远程桌面暴力破解,攻击者:43.143.236.43
    
32. 2025-07-07 20:31:10        [已拦截]          远程桌面弱口令攻击,攻击者:180.102.26.187        防护 1 次
    
33. 检测到远程桌面暴力破解,攻击者:180.102.26.187
    
34. 2025-07-07 19:36:32        [已拦截]          远程桌面弱口令攻击,攻击者:106.225.208.253        防护 1 次
    
35. 检测到远程桌面暴力破解,攻击者:106.225.208.253
    
36. 2025-07-07 19:29:10        [已拦截]          远程桌面弱口令攻击,攻击者:106.12.155.93        防护 1 次
    
37. 检测到远程桌面暴力破解,攻击者:106.12.155.93
    
38. 2025-07-07 19:14:15        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.46.192        防护 2 次
    
39. 检测到远程桌面暴力破解,攻击者:150.223.46.192
    
40. 2025-07-07 19:06:16        [已拦截]          远程桌面弱口令攻击,攻击者:31.7.56.210        防护 1 次
    
41. 检测到远程桌面暴力破解,攻击者:31.7.56.210
    
42. 2025-07-07 19:05:11        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.10.197        防护 2 次
    
43. 检测到远程桌面暴力破解,攻击者:106.227.10.197
    
44. 2025-07-07 18:36:53        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.71.43        防护 2 次
    
45. 检测到远程桌面暴力破解,攻击者:150.223.71.43
    
46. 2025-07-07 18:23:18        [已拦截]          远程桌面弱口令攻击,攻击者:60.204.193.202        防护 1 次
    
47. 检测到远程桌面暴力破解,攻击者:60.204.193.202
    
48. 2025-07-07 18:19:58        [已拦截]          远程桌面弱口令攻击,攻击者:120.48.31.185        防护 1 次
    
49. 检测到远程桌面暴力破解,攻击者:120.48.31.185
    
50. 2025-07-07 17:52:58        [已拦截]          远程桌面弱口令攻击,攻击者:42.194.169.139        防护 1 次
    
51. 检测到远程桌面暴力破解,攻击者:42.194.169.139
    
52. 2025-07-07 17:30:42        [已拦截]          远程桌面弱口令攻击,攻击者:203.56.232.68        防护 2 次
    
53. 检测到远程桌面暴力破解,攻击者:203.56.232.68
    
54. 2025-07-07 16:26:20        [已拦截]          远程桌面弱口令攻击,攻击者:117.88.42.245        防护 1 次
    
55. 检测到远程桌面暴力破解,攻击者:117.88.42.245
    
56. 2025-07-07 16:00:20        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.38.165        防护 2 次
    
57. 检测到远程桌面暴力破解,攻击者:150.223.38.165
    
58. 2025-07-07 15:56:57        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.70.215        防护 2 次
    
59. 检测到远程桌面暴力破解,攻击者:150.223.70.215
    
60. 2025-07-07 15:47:47        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.66.111        防护 1 次
    
61. 检测到远程桌面暴力破解,攻击者:150.223.66.111
    
62. 2025-07-07 15:34:32        [已拦截]          远程桌面弱口令攻击,攻击者:119.57.35.196        防护 2 次
    
63. 检测到远程桌面暴力破解,攻击者:119.57.35.196
    
64. 2025-07-07 15:26:28        [已拦截]          远程桌面弱口令攻击,攻击者:203.57.123.136        防护 1 次
    
65. 检测到远程桌面暴力破解,攻击者:203.57.123.136
    
66. 2025-07-07 15:20:01        [已拦截]          远程桌面弱口令攻击,攻击者:121.36.33.30        防护 2 次
    
67. 检测到远程桌面暴力破解,攻击者:121.36.33.30
    
68. 2025-07-07 14:11:14        [已拦截]          远程桌面弱口令攻击,攻击者:139.199.220.132        防护 1 次
    
69. 检测到远程桌面暴力破解,攻击者:139.199.220.132
    
70. 2025-07-07 13:43:39        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.71.11        防护 1 次
    
71. 检测到远程桌面暴力破解,攻击者:114.96.71.11
    
72. 2025-07-07 13:16:43        [已拦截]          远程桌面弱口令攻击,攻击者:106.75.31.62        防护 1 次
    
73. 检测到远程桌面暴力破解,攻击者:106.75.31.62
    
74. 2025-07-07 12:55:14        [已拦截]          远程桌面弱口令攻击,攻击者:122.51.107.183        防护 1 次
    
75. 检测到远程桌面暴力破解,攻击者:122.51.107.183
    
76. 2025-07-07 12:38:10        [已拦截]          远程桌面弱口令攻击,攻击者:123.249.68.168        防护 2 次
    
77. 检测到远程桌面暴力破解,攻击者:123.249.68.168
    
78. 2025-07-07 12:27:14        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.71.209        防护 1 次
    
79. 检测到远程桌面暴力破解,攻击者:114.96.71.209
    
80. 2025-07-07 12:12:51        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.38.34        防护 3 次
    
81. 检测到远程桌面暴力破解,攻击者:106.227.38.34
    
82. 2025-07-07 12:09:17        [已拦截]          远程桌面弱口令攻击,攻击者:106.55.225.243        防护 1 次
    
83. 检测到远程桌面暴力破解,攻击者:106.55.225.243
    
84. 2025-07-07 12:07:15        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.69.167        防护 1 次
    
85. 检测到远程桌面暴力破解,攻击者:114.96.69.167
    
86. 2025-07-07 11:48:56        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.57.210        防护 2 次
    
87. 检测到远程桌面暴力破解,攻击者:150.223.57.210
    
88. 2025-07-07 10:56:54        [已拦截]          远程桌面弱口令攻击,攻击者:106.225.214.137        防护 1 次
    
89. 检测到远程桌面暴力破解,攻击者:106.225.214.137
    
90. 2025-07-07 10:51:53        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.39.217        防护 2 次
    
91. 检测到远程桌面暴力破解,攻击者:150.223.39.217
    

复制代码

火绒运营专员

您好，火绒是否有相关提示呢？可以先关闭不必要的端口看下是否还会有相关提示哈~

abcdwf

火绒运营专员 发表于 2025-7-8 10:02
您好，火绒是否有相关提示呢？可以先关闭不必要的端口看下是否还会有相关提示哈~ ...

火绒目前安装在本地电脑上，未有任何提示。
这些是rdp连接到远程服务器上的打印信息

abcdwf

我也是想把这些信息提供给火绒官方，我也看到过火绒的情报驱动相关说明。

火绒运营专员

abcdwf 发表于 2025-7-8 10:09
我也是想把这些信息提供给火绒官方，我也看到过火绒的情报驱动相关说明。 ...

好的，您方便的话可以在出现问题时使用附件工具抓包我们分析看下哈~

abcdwf

我已经把wireshark装上去了，并开始捕获了，但还一次攻击都没拦截到，就好像他能感知到我再拦截一样，不攻击了

火绒运营专员

abcdwf 发表于 2025-7-8 10:55
我已经把wireshark装上去了，并开始捕获了，但还一次攻击都没拦截到，就好像他能感知到我再拦截一样，不攻 ...

好的，您再观察看看，目前看第一个ip：45.134.26.142存在恶意记录，可以加入黑名单处理~

abcdwf

火绒运营专员 发表于 2025-7-8 11:05
好的，您再观察看看，目前看第一个ip：45.134.26.142存在恶意记录，可以加入黑名单处理~ ...

好的，感谢大哥

火绒运营专员

abcdwf 发表于 2025-7-8 11:19
好的，感谢大哥

嗯嗯，后续如果出现攻击记录可以尝试抓包这边分析下哈~

abcdwf

隔了很久才拦截到一条

1. 时间        操作        说明        次数
   
2. 2025-07-08 13:04:38        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.56.35        防护 1 次
   
3. 检测到远程桌面暴力破解,攻击者:150.223.56.35
   
4. 2025-07-08 10:38:22        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.185.74        防护 1 次
   
5. 检测到远程桌面暴力破解,攻击者:175.6.185.74
   
6. 2025-07-08 10:17:58        [已拦截]          远程桌面弱口令攻击,攻击者:124.70.75.103        防护 1 次
   
7. 检测到远程桌面暴力破解,攻击者:124.70.75.103
   
8. 2025-07-08 10:09:00        [已拦截]          远程桌面弱口令攻击,攻击者:81.71.49.93        防护 3 次
   
9. 检测到远程桌面暴力破解,攻击者:81.71.49.93
   
10. 2025-07-08 09:47:30        [已拦截]          远程桌面弱口令攻击,攻击者:45.134.26.142        防护 2 次
    
11. 检测到远程桌面暴力破解,攻击者:45.134.26.142
    
12. 2025-07-08 09:12:58        [已拦截]          远程桌面弱口令攻击,攻击者:47.103.20.37        防护 1 次
    
13. 检测到远程桌面暴力破解,攻击者:47.103.20.37
    
14. 2025-07-08 08:48:52        [已拦截]          远程桌面弱口令攻击,攻击者:111.231.19.187        防护 1 次
    
15. 检测到远程桌面暴力破解,攻击者:111.231.19.187
    
16. 2025-07-08 08:20:56        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.71.74        防护 1 次
    
17. 检测到远程桌面暴力破解,攻击者:175.6.71.74
    
18. 
    

复制代码

Wireshark 请求记录：

1. No.     Time           Source                Destination           Protocol Length Info
   
2.    4700 3907.126776    150.223.56.35         172.28.48.25          TCP      66     49511 → 65230 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
   
3. 
   
4. Frame 4700: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
   
5. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
   
6. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
   
7. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 0, Len: 0
   
8.     Source Port: 49511
   
9.     Destination Port: 65230
   
10.     [Stream index: 180]
    
11.     [Conversation completeness: Complete, WITH_DATA (63)]
    
12.     [TCP Segment Len: 0]
    
13.     Sequence Number: 0    (relative sequence number)
    
14.     Sequence Number (raw): 860961686
    
15.     [Next Sequence Number: 1    (relative sequence number)]
    
16.     Acknowledgment Number: 0
    
17.     Acknowledgment number (raw): 0
    
18.     1000 .... = Header Length: 32 bytes (8)
    
19.     Flags: 0x0c2 (SYN, ECE, CWR)
    
20.     Window: 64240
    
21.     [Calculated window size: 64240]
    
22.     Checksum: 0x9909 [unverified]
    
23.     [Checksum Status: Unverified]
    
24.     Urgent Pointer: 0
    
25.     Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted
    
26.     [Timestamps]
    
27. 
    
28. No.     Time           Source                Destination           Protocol Length Info
    
29.    4704 3907.160981    150.223.56.35         172.28.48.25          TCP      60     49511 → 65230 [ACK] Seq=1 Ack=1 Win=1573632 Len=0
    
30. 
    
31. Frame 4704: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
32. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
33. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
34. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1, Ack: 1, Len: 0
    
35.     Source Port: 49511
    
36.     Destination Port: 65230
    
37.     [Stream index: 180]
    
38.     [Conversation completeness: Complete, WITH_DATA (63)]
    
39.     [TCP Segment Len: 0]
    
40.     Sequence Number: 1    (relative sequence number)
    
41.     Sequence Number (raw): 860961687
    
42.     [Next Sequence Number: 1    (relative sequence number)]
    
43.     Acknowledgment Number: 1    (relative ack number)
    
44.     Acknowledgment number (raw): 829451830
    
45.     0101 .... = Header Length: 20 bytes (5)
    
46.     Flags: 0x010 (ACK)
    
47.     Window: 6147
    
48.     [Calculated window size: 1573632]
    
49.     [Window size scaling factor: 256]
    
50.     Checksum: 0x1dd4 [unverified]
    
51.     [Checksum Status: Unverified]
    
52.     Urgent Pointer: 0
    
53.     [Timestamps]
    
54.     [SEQ/ACK analysis]
    
55. 
    
56. No.     Time           Source                Destination           Protocol Length Info
    
57.    4705 3907.161234    150.223.56.35         172.28.48.25          TLSv1.2  73     Ignored Unknown Record
    
58. 
    
59. Frame 4705: 73 bytes on wire (584 bits), 73 bytes captured (584 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
60. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
61. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
62. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1, Ack: 1, Len: 19
    
63.     Source Port: 49511
    
64.     Destination Port: 65230
    
65.     [Stream index: 180]
    
66.     [Conversation completeness: Complete, WITH_DATA (63)]
    
67.     [TCP Segment Len: 19]
    
68.     Sequence Number: 1    (relative sequence number)
    
69.     Sequence Number (raw): 860961687
    
70.     [Next Sequence Number: 20    (relative sequence number)]
    
71.     Acknowledgment Number: 1    (relative ack number)
    
72.     Acknowledgment number (raw): 829451830
    
73.     0101 .... = Header Length: 20 bytes (5)
    
74.     Flags: 0x018 (PSH, ACK)
    
75.     Window: 6147
    
76.     [Calculated window size: 1573632]
    
77.     [Window size scaling factor: 256]
    
78.     Checksum: 0x0bba [unverified]
    
79.     [Checksum Status: Unverified]
    
80.     Urgent Pointer: 0
    
81.     [Timestamps]
    
82.     [SEQ/ACK analysis]
    
83.     TCP payload (19 bytes)
    
84. Transport Layer Security
    
85. 
    
86. No.     Time           Source                Destination           Protocol Length Info
    
87.    4713 3907.205814    150.223.56.35         172.28.48.25          TLSv1.2  183    Client Hello
    
88. 
    
89. Frame 4713: 183 bytes on wire (1464 bits), 183 bytes captured (1464 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
90. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
91. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
92. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 20, Ack: 20, Len: 129
    
93.     Source Port: 49511
    
94.     Destination Port: 65230
    
95.     [Stream index: 180]
    
96.     [Conversation completeness: Complete, WITH_DATA (63)]
    
97.     [TCP Segment Len: 129]
    
98.     Sequence Number: 20    (relative sequence number)
    
99.     Sequence Number (raw): 860961706
    
100.     [Next Sequence Number: 149    (relative sequence number)]
     
101.     Acknowledgment Number: 20    (relative ack number)
     
102.     Acknowledgment number (raw): 829451849
     
103.     0101 .... = Header Length: 20 bytes (5)
     
104.     Flags: 0x018 (PSH, ACK)
     
105.     Window: 6147
     
106.     [Calculated window size: 1573632]
     
107.     [Window size scaling factor: 256]
     
108.     Checksum: 0x9728 [unverified]
     
109.     [Checksum Status: Unverified]
     
110.     Urgent Pointer: 0
     
111.     [Timestamps]
     
112.     [SEQ/ACK analysis]
     
113.     TCP payload (129 bytes)
     
114. Transport Layer Security
     
115. 
     
116. No.     Time           Source                Destination           Protocol Length Info
     
117.    4717 3907.245359    150.223.56.35         172.28.48.25          TLSv1.2  236    Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
     
118. 
     
119. Frame 4717: 236 bytes on wire (1888 bits), 236 bytes captured (1888 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
120. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
121. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
122. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 149, Ack: 1181, Len: 182
     
123.     Source Port: 49511
     
124.     Destination Port: 65230
     
125.     [Stream index: 180]
     
126.     [Conversation completeness: Complete, WITH_DATA (63)]
     
127.     [TCP Segment Len: 182]
     
128.     Sequence Number: 149    (relative sequence number)
     
129.     Sequence Number (raw): 860961835
     
130.     [Next Sequence Number: 331    (relative sequence number)]
     
131.     Acknowledgment Number: 1181    (relative ack number)
     
132.     Acknowledgment number (raw): 829453010
     
133.     0101 .... = Header Length: 20 bytes (5)
     
134.     Flags: 0x018 (PSH, ACK)
     
135.     Window: 6143
     
136.     [Calculated window size: 1572608]
     
137.     [Window size scaling factor: 256]
     
138.     Checksum: 0x1f91 [unverified]
     
139.     [Checksum Status: Unverified]
     
140.     Urgent Pointer: 0
     
141.     [Timestamps]
     
142.     [SEQ/ACK analysis]
     
143.     TCP payload (182 bytes)
     
144. Transport Layer Security
     
145. 
     
146. No.     Time           Source                Destination           Protocol Length Info
     
147.    4722 3907.282470    150.223.56.35         172.28.48.25          TLSv1.2  187    Application Data
     
148. 
     
149. Frame 4722: 187 bytes on wire (1496 bits), 187 bytes captured (1496 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
150. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
151. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
152. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 331, Ack: 1288, Len: 133
     
153.     Source Port: 49511
     
154.     Destination Port: 65230
     
155.     [Stream index: 180]
     
156.     [Conversation completeness: Complete, WITH_DATA (63)]
     
157.     [TCP Segment Len: 133]
     
158.     Sequence Number: 331    (relative sequence number)
     
159.     Sequence Number (raw): 860962017
     
160.     [Next Sequence Number: 464    (relative sequence number)]
     
161.     Acknowledgment Number: 1288    (relative ack number)
     
162.     Acknowledgment number (raw): 829453117
     
163.     0101 .... = Header Length: 20 bytes (5)
     
164.     Flags: 0x018 (PSH, ACK)
     
165.     Window: 6142
     
166.     [Calculated window size: 1572352]
     
167.     [Window size scaling factor: 256]
     
168.     Checksum: 0x9948 [unverified]
     
169.     [Checksum Status: Unverified]
     
170.     Urgent Pointer: 0
     
171.     [Timestamps]
     
172.     [SEQ/ACK analysis]
     
173.     TCP payload (133 bytes)
     
174. Transport Layer Security
     
175. 
     
176. No.     Time           Source                Destination           Protocol Length Info
     
177.    4727 3907.318009    150.223.56.35         172.28.48.25          TLSv1.2  731    Application Data
     
178. 
     
179. Frame 4727: 731 bytes on wire (5848 bits), 731 bytes captured (5848 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
180. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
181. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
182. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 464, Ack: 1533, Len: 677
     
183.     Source Port: 49511
     
184.     Destination Port: 65230
     
185.     [Stream index: 180]
     
186.     [Conversation completeness: Complete, WITH_DATA (63)]
     
187.     [TCP Segment Len: 677]
     
188.     Sequence Number: 464    (relative sequence number)
     
189.     Sequence Number (raw): 860962150
     
190.     [Next Sequence Number: 1141    (relative sequence number)]
     
191.     Acknowledgment Number: 1533    (relative ack number)
     
192.     Acknowledgment number (raw): 829453362
     
193.     0101 .... = Header Length: 20 bytes (5)
     
194.     Flags: 0x018 (PSH, ACK)
     
195.     Window: 6147
     
196.     [Calculated window size: 1573632]
     
197.     [Window size scaling factor: 256]
     
198.     Checksum: 0xeab5 [unverified]
     
199.     [Checksum Status: Unverified]
     
200.     Urgent Pointer: 0
     
201.     [Timestamps]
     
202.     [SEQ/ACK analysis]
     
203.     TCP payload (677 bytes)
     
204. Transport Layer Security
     
205. 
     
206. No.     Time           Source                Destination           Protocol Length Info
     
207.    4786 3908.345344    150.223.56.35         172.28.48.25          TCP      60     49511 → 65230 [FIN, ACK] Seq=1141 Ack=1618 Win=1573632 Len=0
     
208. 
     
209. Frame 4786: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
210. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
211. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
212. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1141, Ack: 1618, Len: 0
     
213.     Source Port: 49511
     
214.     Destination Port: 65230
     
215.     [Stream index: 180]
     
216.     [Conversation completeness: Complete, WITH_DATA (63)]
     
217.     [TCP Segment Len: 0]
     
218.     Sequence Number: 1141    (relative sequence number)
     
219.     Sequence Number (raw): 860962827
     
220.     [Next Sequence Number: 1142    (relative sequence number)]
     
221.     Acknowledgment Number: 1618    (relative ack number)
     
222.     Acknowledgment number (raw): 829453447
     
223.     0101 .... = Header Length: 20 bytes (5)
     
224.     Flags: 0x011 (FIN, ACK)
     
225.     Window: 6147
     
226.     [Calculated window size: 1573632]
     
227.     [Window size scaling factor: 256]
     
228.     Checksum: 0x130e [unverified]
     
229.     [Checksum Status: Unverified]
     
230.     Urgent Pointer: 0
     
231.     [Timestamps]
     
232.     [SEQ/ACK analysis]
     

复制代码

火绒运营专员

abcdwf 发表于 2025-7-8 13:15
隔了很久才拦截到一条

您好，方便把抓包信息压缩上传论坛这边看下嘛？

abcdwf

火绒运营专员 发表于 2025-7-8 13:17
您好，方便把抓包信息压缩上传论坛这边看下嘛？

10楼添加了数据压缩包，捕获的时间长，数据太大了，我用ip.src == 150.223.56.35过滤了下，不知道数据全不全

火绒运营专员

abcdwf 发表于 2025-7-8 13:24
10楼添加了数据压缩包，捕获的时间长，数据太大了，我用ip.src == 150.223.56.35过滤了下，不知道数据全 ...

好的，我们本地查验下，有进展会第一时间和您同步哈~

abcdwf

为何我开启wireshark捕获后，攻击就减少这么明显，莫非网络协议还能感知捕获？

火绒运营专员

abcdwf 发表于 2025-7-8 13:27
为何我开启wireshark捕获后，攻击就减少这么明显，莫非网络协议还能感知捕获？ ...

您好，一般不会出现该情况，完整抓包方便的话可以通过QQ闪传或上传网盘的方式提供我们看下哈~