在多年的IDC机房维护过程中，服务器不定期的遭受各种人士的来访。来访的方式一般有两种：

1、DDOS攻击

2、利用系统漏洞植入后面程序

对于第一种情况，危害比较大，直接把入口堵死。但对服务器本身的伤害比较小。但第二种就很严重了，如果他入侵了web服务器，就可以直接访问后台数据库。一定要谨慎。

如果当遭受攻击，而你的整个防护设备中又没有入侵检测和流量分析设备。如何找出肇事者呢？这个时候使用开源的工具也可以。

方法如下：

在连接到防火墙内网口的核心交换机端口上启用SPAN（端口镜像），在目的端口上使用wireshark进行数据分析。很多人只知道wireshark可以抓包，可以看到数据包里面的内容。其实它还有一个很重要的功能就是以会话的方式统计数据流量。并进行排名。

至于交换机上的SPAN配置我这里就说明了。大家可以查找网上资料。下面是在wireshark上如何查看：

当然你先得开始数据包捕获功能。打开“conversation”后，可以看到如下，点击IPV4，最上面的按钮是排序用的。可以看出，当前哪些人正在访问你。source和destination都有了。

如果source的数据量过大，基本就可以断定是肇事者。可以使用很多方法进行过滤了。

当网络遭受攻击时，如何快速找出真凶？