网络病毒的定义与特点 网络协议分析实战

聚焦网络实战经验，专注网络实用技术，"雁过无声song"来啦！

Wireshark分析网络主机的电脑病毒数据，了解电脑病毒包的特殊和现象，如果遇到类似的报文，可以做出正确的分析，并及时进行处理。

分析步骤：

1. 先过滤出两台主机间的通信数据包，统计端点信息。

2. 对数据包长度进行统计，发现在256个包中有192个小包，占比很大，而且数据包的分配不均匀，没有超过1K的数据包，通信均处在会话阶段，没有形成通信。

3. 协议统计显示大部分为TCP协议，与上面雷同，小包均为结束帧，根本没有形成通信。

4. 通过TCP流追踪和专家信息分析，TCP三次握手成功后，HTTP不被执行，访问网页失败，四次挥手断开连接，就一直处于【RST】重置状态，形成数据流交互，无法通信。

5. 由此判断，网络是没有问题的，检查主机后发现有电脑病毒（nimda）存在。

清除病毒的恢复正常。