我们将游戏服务器托pipe在Windows Server 2008计算机之外,而我们刚刚收到一份报告,指出我们的客户之一正在使用其服务器来执行某种types的UDP攻击。 受到攻击的人为我们提供了IP地址,但是对IPv4的限制,我们有5个游戏服务器运行了该IP地址。
找出哪个游戏服务器正在发送这些数据包,最好的办法是什么? 我们其他技术人员很久以前安装了一个应用程序,显示了实时的networkingstream量,但这不是在这台机器上,我找不到它。
要求受害者给你他认定为属于攻击的数据报的源端口。
如果你在该IP上运行5个不同的游戏服务器,它们中的每一个都将在不同的端口上运行,因此,通过在UDP数据报上交叉检查游戏服务器“侦听端口”到源端口,你将知道哪个是罪魁祸首受害者收到。
总的来说,如果您长期对这种交通检查感兴趣,那么您需要熟悉Wireshark ,特别是其可编写脚本的组件: Tshark 。 巧妙地使用这些工具,可以提供对任何types的networking问题的深入了解。
您可以在服务器上安装Microsoftnetworking监视器,并在您怀疑活动正在发生时开始捕获。 Netmon将跟踪stream量中涉及的stream程,以便您将其缩小到特定的stream程。
至于stream量历史logging,您需要在交换机或路由器上configurationNetflow等configuration,将stream量导出到Netflow收集器。