网络到底有没有病毒攻击？一招教会你wireshark抓包，就算不会wireshark也要会使用netstat -e?

brt · 2025-1-20 10:11:54

点击关注即到哥，即到哥一呼即到，远程免费！

需求描述
兄弟们，今天我们看一下，如果自己电脑网络非常慢，是否受到了攻击，可以看一下自己的电脑的流量是否有问题？或者是否有中毒软件，导致的电脑其中有些进程软件一直不停的大量外发大量的流量，或者接收大量的流量攻击。

解决过程
我们可以打开火绒的流量监控。

在这里我们就可以很清晰的看到，每个软件使用了多少的流量。

在这里不仅可以看到，每个软件占用了多少下载和上传流量，还可以看到，每个软件占用了多少个会话连接数。可以看到，当我们还没有上网的时候，一台电脑的连接会话数基本上都是要在100多个。还可以看到，一个wps云服务就占了43个连接数。

再看一下，现在总共占了184个连接数。

再打开几个网页，可以看到，网页edge浏览器就占了20个会话，一台电脑基本上的占用的会话数是在200左右。

模拟攻击
下面我们来模拟攻击，模拟udp攻击，看一下，电脑有什么反应。

192.168.10.253这台电脑是被攻击对象。

先看一下，系统网卡正常的流量，如果不下载，正常的流量就是在800Kbps左右，可以看到现在以太网最大的吞吐量是1Mbps。

1Gbps=1024Mbps，1Mbps=1024kbps。

再看一下抓包情况，都是正常的广播包。有个网卡发送多了几个广播包，这个也正常，那如果我们想找到这个网卡是从哪台电脑里发送过来的怎么找呢？

我们先打开这个arp的广播包序号是1432，查看一下源mac地址是04:d4:c4:4b:41:4a。

我们再取消arp过滤，然后找到1433序号的包，可以看到，这个目标就是我们要找到mac地址。来看一下目标的IP地址是多少，可以看到是192.168.10.21。

我们再ping一下，可以发现是可以正常ping通的，解析出来的mac地址也没有问题。

这时我们再登录到路由器上查看，这台mac地址对应的主机名。可以看到是zack电脑，这也就是为什么如果公司电脑主机名都更改对应的人名之后，如果出现，也好排查。当然了，路由器要自动学习到电脑的主机名，还需要路由器和电脑在同一个二层局域网，不能跨三层，或者只能手动加备注了。

我们除了，在路由器中可以查看192.168.10.21的主机名，如果没有路由器密码，我们还可以使用ping -a 来解析这台电脑的主机名。

这时我们就可以找到zack电脑了，再确定一下mac地址是否对，可以看到就是这台电脑了。

当然了，上面的流量都是正常流量。下面我们来攻击一下，看一下不正常的流量。

在局域网找台电脑，我们攻击192.168.10.253。

在192.168.10.253上，抓包，可以看到不会儿就抓了这么多的包。不会就抓了55万个包。那网络说明肯定有问题。

还可以看到，被攻击之后，这台被攻击的电脑网络网卡已经跑到了852Mbps了，基本上都在700-800Mbps，这基本上都快跑满到1Gbps。

正常情况下抽流量是这样的，如果不下载，1Mpbs左右。

如果电脑受到攻击，可以看到，网卡的流量，从很小的流量，突然就852Mpbs直逼1Gbps，如果有多台电脑攻击这一台电脑，这一台电脑带宽肯定要被占满了。

可以看到，这个电脑网卡最大也就是1Gbps。

当然了，我们还可以看这台电脑接收的数据包流量，可以看到也是非常大的。

过个1-2s直接就变成了516亿了。那肯定有问题。

使用netstat -e 可以看到，单播数据包，一秒加了100多万个。

如果正常的广播单播，一直不停的刷，基本上都是在千，万的单位在变化。如果都是一直在100多万的在变化那肯定就有问题了。

我们再看一下抓包过程。全部都是这种源是192.168.10.21到192.168.10.253的攻击包。

如何重置电脑中的单播包计数。我们可以将网卡禁用再启用。

当我们没有攻击的时候，可以看到前半断网络是正常的，一攻击后半断网络直接快跑满了。

当我们停止攻击，可以看到流量一下子就降下去了。