网深科技NetInside网络流量异常分析报告

1. 报告信息

报告编号

NS-20250711-ANOMALY-021

报告时间

2025-07-11

分析工具

NetInside网络流量分析系统、Wireshark、Tshark

提供数据

流量监控图表、抓包样本、主机日志、导出表格

2. 背景信息

本报告针对生产环境中捕获的异常SNMP高频探测流量，重点分析流量行为、协议特征、来源与风险，并提出封禁与加固建议。

3. 流量发现概述

时间范围

异常流量开始：2025-07-06 21:50（UTC+8）
结束时间：2025-07-07 00:10
持续约2小时20分钟

涉及IP地址

157.238.227.173（俄罗斯Selectel数据中心）
87.245.241.9（俄罗斯/乌克兰租用段）
154.18.5.106（美国/欧洲混用VPS）
101.254.114.238（本地生产服务器）
210.176.141.101（亚太区未知来源）

主要协议

SNMP（UDP/161，高频getBulkRequest）
UDP/24680（非标准端口）
SSH（TCP/22）
HTTP（TCP/80）

4. 流量行为与趋势图

4.1 宏观趋势（全局流量分布）

下方截图展示了生产网络在2025-07-06至07-07的整体流量趋势，包含三层视角：

总体带宽变化
按来源IP统计流量
按协议类别分布

从曲线可以看到：

22:00开始，157.238.227.173与其他海外IP出现流量高峰
协议分布中UDP/161(SNMP)占绝对主导
峰值接近0.4 Mbps，持续超过1小时

图1 - NetInside三层流量趋势（总览）

4.2 微观分析（单IP与协议明细）

下方截图为157.238.227.173在同一时段的详细行为视图，包含：

主机曲线（进出流量）
网络延时（RTT）
应用协议分布（snmp-udp显著）
未知协议统计（snmp-udp流量接近100%）

重点发现：

23:00时该IP突发高频探测
SNMP流量持续占用带宽
网络延时基本平稳，对延迟影响较低

图2 - NetInside详细主机与应用分析（157.238.227.173）

5. 抓包样本分析

抓包文件显示：

协议：SNMP v2c
Community String：public（默认）
请求类型：getBulkRequest
请求频率：约每200毫秒
请求OID涵盖：系统描述、接口流量、CPU、存储、IP地址
行为模式：自动化探测

图3 - Wireshark抓包详细解码视图

6. 威胁情报关联

对157.238.227.173查询发现：

来源：Selectel数据中心（俄罗斯）
多次在AbuseIPDB、Spamhaus、AlienVault黑名单出现
关联行为：端口扫描、SNMP枚举、暴力破解

此IP为高风险探针扫描来源。

7. 风险评估

可用性影响：中

高频SNMP轮询可能增加网络设备负载

机密性风险：高

默认Community暴露系统及接口敏感信息

攻击面利用：高

可用于渗透、社工、钓鱼攻击

溯源难度：中

来源为海外云主机，封禁和取证复杂

8. 建议措施

短期封禁

请立即执行防火墙封禁：

iptables -A INPUT -s 157.238.227.173 -j DROP
iptables -A INPUT -s 87.245.241.9 -j DROP
iptables -A INPUT -s 154.18.5.106 -j DROP

SNMP安全加固

禁用SNMP v1/v2c
启用SNMP v3（AES加密+认证）
删除默认public Community
配置ACL只允许内部监控IP
限制暴露OID范围

日志与追踪

导出NetInside同时间段日志
核查设备日志与配置更改
确认是否有其他异常管理口访问

9. 结论

本次流量为非授权的高频SNMP探测，综合判定为高风险事件。建议立即封禁来源IP、完成SNMP加固并持续监控。

10. 附录与补充资料

10.1 OID清单

SNMP 请求OID清单

来源IP：157.238.227.173
目标IP：101.254.114.238
抓包时间：6秒区间

|--------|------------------------|-----------------------------------|--------|
| 序号 | OID | 中文含义 | 类别 |
| 1 | 1.3.6.1.2.1.1.1.0 | 系统描述 (sysDescr) | 基本信息 |
| 2 | 1.3.6.1.2.1.1.2.0 | 系统对象ID (sysObjectID) | 基本信息 |
| 3 | 1.3.6.1.2.1.1.3.0 | 系统运行时间 (sysUpTime) | 基本信息 |
| 4 | 1.3.6.1.2.1.1.4.0 | 系统联系人 (sysContact) | 基本信息 |
| 5 | 1.3.6.1.2.1.1.5.0 | 系统名称 (sysName) | 基本信息 |
| 6 | 1.3.6.1.2.1.1.6.0 | 系统位置 (sysLocation) | 基本信息 |
| 7 | 1.3.6.1.2.1.2.1.0 | 接口数量 (ifNumber) | 接口信息 |
| 8 | 1.3.6.1.2.1.2.2.1.1 | 接口索引 (ifIndex) | 接口信息 |
| 9 | 1.3.6.1.2.1.2.2.1.2 | 接口描述 (ifDescr) | 接口信息 |
| 10 | 1.3.6.1.2.1.2.2.1.3 | 接口类型 (ifType) | 接口信息 |
| 11 | 1.3.6.1.2.1.2.2.1.5 | 接口速度 (ifSpeed) | 接口信息 |
| 12 | 1.3.6.1.2.1.2.2.1.6 | 接口MAC地址 (ifPhysAddress) | 接口信息 |
| 13 | 1.3.6.1.2.1.2.2.1.8 | 接口状态 (ifOperStatus) | 接口信息 |
| 14 | 1.3.6.1.2.1.2.2.1.10 | 接口输入字节数 (ifInOctets) | 流量统计 |
| 15 | 1.3.6.1.2.1.2.2.1.16 | 接口输出字节数 (ifOutOctets) | 流量统计 |
| 16 | 1.3.6.1.2.1.4.20.1.1 | IP地址 (ipAdEntAddr) | IP信息 |
| 17 | 1.3.6.1.2.1.4.20.1.2 | IP地址对应接口索引 (ipAdEntIfIndex) | IP信息 |
| 18 | 1.3.6.1.2.1.4.20.1.3 | IP地址掩码 (ipAdEntNetMask) | IP信息 |
| 19 | 1.3.6.1.2.1.25.1.1.0 | 主机启动时间 (hrSystemUptime) | 主机信息 |
| 20 | 1.3.6.1.2.1.25.2.3.1.2 | 存储描述 (hrStorageDescr) | 存储信息 |
| 21 | 1.3.6.1.2.1.25.2.3.1.3 | 存储类型 (hrStorageType) | 存储信息 |
| 22 | 1.3.6.1.2.1.25.2.3.1.4 | 存储分配单位 (hrStorageAllocationUnits) | 存储信息 |
| 23 | 1.3.6.1.2.1.25.2.3.1.5 | 存储总容量 (hrStorageSize) | 存储信息 |
| 24 | 1.3.6.1.2.1.25.2.3.1.6 | 存储使用量 (hrStorageUsed) | 存储信息 |
| 25 | 1.3.6.1.2.1.25.3.3.1.2 | CPU利用率 (hrProcessorLoad) | 主机信息 |
| 26 | 1.3.6.1.2.1.25.3.2.1.3 | 设备ID (hrDeviceID) | 主机信息 |

10.2 NetInside流量截图

NetInside三层流量趋势（总览）

NetInside详细主机与应用分析（157.238.227.173）

10.3 流量清单

|-----------------|------ | 名称 | 101.254.114.238 | 254.327 | 157.238.227.173 | 147.137 | 87.245.241.9 | 22.416 | 210.176.141.101 | 19.867 | 154.18.5.106 | 19.659 | 101.254.114.239 | 15.32 | 101.254.114.240 | 12.888 | 103.99.106.30 | 8.329 | 77.83.38.138 | 7.205 | 1.202.187.84 | 6.46 | 36.163.192.74 | 5.167 | 36.189.207.209 | 3.857 | 103.255.238.9 | 3.269 | 1.202.187.85 | 2.989 | 101.254.114.237 | 2.779 | 14.103.126.104 | 1.817 | 117.72.52.28 | 1.77 | 171.115.220.116 | 1.623 | 103.255.238.8 | 1.375 | 103.255.238.10 | 1.36 ------------------------------|------------------------------------|------------------------------------|----------------------------------|----------------------------------|----------------------------------|
| 吞吐量 ( 总和 )[kbps] | 吞吐量 ( 流入 )[kbps] | 吞吐量 ( 流出 )[kbps] | 字节数 ( 总和 )[MB] | 字节数 ( 入向 )[MB] | 字节数 ( 出向 )[MB] |
| 8.17 | 246.156 | 334.712 | 10.752 | 323.959 |
| 142.829 | 4.308 | 193.642 | 187.973 | 5.669 |
| 21.76 | 0.656 | 29.501 | 28.638 | 0.863 |
| 19.281 | 0.585 | 26.146 | 25.376 | 0.771 |
| 19.078 | 0.581 | 25.872 | 25.107 | 0.765 |
| 10.997 | 4.323 | 20.162 | 14.472 | 5.69 |
| 5.739 | 7.149 | 16.961 | 7.553 | 9.409 |
| 8.043 | 0.286 | 10.962 | 10.585 | 0.377 |
| 6.964 | 0.242 | 9.483 | 9.165 | 0.318 |
| 0.497 | 5.963 | 8.502 | 0.654 | 7.848 |
| 2.944 | 2.223 | 6.8 | 3.874 | 2.926 |
| 2.072 | 1.786 | 5.077 | 2.726 | 2.35 |
| 3.174 | 0.095 | 4.302 | 4.177 | 0.125 |
| 0.531 | 2.458 | 3.934 | 0.698 | 3.235 |
| 1.551 | 1.228 | 3.658 | 2.042 | 1.616 |
| 1.025 | 0.792 | 2.391 | 1.349 | 1.042 |
| 0.984 | 0.786 | 2.329 | 1.295 | 1.034 |
| 0.875 | 0.748 | 2.136 | 1.152 | 0.984 |
| 1.336 | 0.04 | 1.81 | 1.758 | 0.052 |
| 1.32 | 0.039 | 1.789 | 1.737 | 0.052 |

【完】