科来网络分析专家在例行为某客户进行网絡安全检查服务中发现该用户有一台服务器（*.77）有大量扫描流量被疑似感染病毒。客户部署科来网络回溯分析系统在内网的核心交换机仩对经过核心的流量进行监控与分析。

*.77每隔6秒主动发起一次對118.193.228.240的连接，直到13:14:24才连接成功从数据流的解码中我们可以看到rdpdr，rdpsnddrdynvc和cliprdr等名字，而这些名字都是FreeRDP库的名字FreeRDP是一个免费开源实现的一个远程桌面协议(RDP)工具，用于从Linux下远程连接到Windows的远程桌面如上图。

13:32到13:36IP数猛增到15000+，同步包也开始与同步确认包出现较大差值扫描开始，如上图

*.77扫描内网地址，每个地址发2个TCP同步包由於扫描的地址大多数不存在并不能得到回应，所以会造成上文提到的同步包与同步确认包出现较大差值如上图。

当扫描到存在的IP地址时如下图（以*.71为例）：三次握手建立成功后，*.77会直接发RST包断开连接继续扫描后面的IP地址。但是*.71会被记录下来进行后续攻击如上图。

接著*.77开始扫描*.71的一些常用端口确定*.71开了哪些端口以便进行后续攻击，上图中只有80端口的会话有7个数据包说明有过回包。

端口扫描结束*.77會对*.71打开的端口进行漏洞测试，尝试找到漏洞进行入侵电脑

通过上文中的分析，我们可以确定*.77已经被黑客控制并且黑客正在以此为跳板尝试向内部入侵电脑。在该用户网络安全管理人员随即禁止*.77访问上文中提到的外网IP及端口（118.193.228.240 TCP 1718117.18.15.32等），并对*.77进行处理