告警：流量来自私网139端口
　　
　　通过查看告警来源，发现流量均为来自私网地址的139端口连接，通过sniffer的Protocol Distribution的Packet排序可以看出Netbios协议流量占所有流量的80％，即当前网络中80％的数据包都是Netbios协议数据包。如下图所示：

 

   

    
    很明显出现这种现象是不正常的，我们可以在所捕获的数据包里定义过滤器，选择只查看Netbios协议，进一步了解具体的数据包内容（如下图所示）：

   

    
    发现存在大量网内的私网地址发起的139端口连接请求，而且全都是TCP的SYN请求，TCP的三次握手只有一次，很可能受到了SYN攻击。数据包大小都是62字节，而且每个数据包之间发送间隔都在1ms内，排除人为发起TCP请求的可能。通过观察数据包的源，目的IP地址，发现源地址很分散，目的地址均为实际并不存在的IP地址，但根据我公司IP地址规划都属于某地市分公司私网地址段。根据流量的特征，初步判断为私网用户感染蠕虫病毒，病毒通过139端口与大量虚假IP地址建立连接，造成网络中存在大量短数据包，严重降低网络运行效率。