在实际工作中,可能会遇到服务器被攻击成功而没有触发其他设备的告警。在没有告警数据包留存的情况下,往往需要下载被攻击时间之前15分钟全部流量进行分析,这样下载来的数据包中会包含大量的http会话。
如何快速定位到关键攻击会话?
使用日志视图查看HTTP协议交互日志,这里的日志全部都是基于捕获到的流量生成的,每行代表一次HTTP交互。
日志中有请求的方法、路径、referer等容易携带攻击指令的字段,还可以看到服务器的返回状态码,也可以基于字符进行搜索和排序。
如果发现某个会话可疑,就通过右键点击定位到会话视图,查看TCP会话。
通过分析数据流进一步研判攻击。
通过这些功能可以快速定位攻击会话。
