政府流量分析案例

地点：某政府事业单位

测试工具：科来回溯分析系统

事件：发现大量异常数据包，客户端发送SYN请求被单方面RST断开。如下图所示：

结论：有三种可能

          第一：这个客户端没有权限访问，被安全设备阻断了，可能性大一点，感觉像是防火墙发了RST包拦了

          第二：服务器9988端口现在已经不提供服务了，换了端口，但是客户端没有及时调整，还在连停用端口

          第三：看一下客户端是不是只和这一个服务器的9988端口在尝试建链，如果是和网段里面每个IP都尝试建链，那就可能是中毒了