第474章 好戏在后头（2 / 4）

都是非常多的，成千上万，需要在这些密密麻麻的记录中，找出异常的数据，可不容易。研究都能给找花了，可能还只分析了一部分内容。　　当然，这只是对新手菜鸟来说的。　　对于丁华辉这种高手，由于经常处理这种事情，早已得心应手。　　他看了一会儿曰志，然后直接写了一个脚本代码，将那些含有特定关键词的正常连接记录全部进行过滤，将可能异常的记录直接保存为另外一个新的文件中。　　这就是类unix系统的命令行工具强大之处了。系统管理员，或者技术人员，想要实现什么功能，直接通过特定的命令就能完成，甚至可以直接在终端里面编写代码，直接执行。　　在windows下，要实现这样的功能，通常都是使用软件进行艹作，要是没有完成这样功能的软件，可能还要另外编写。　　当然windows下也有dos命令，但是dos命令功能并不强大，相当于被阉割了的unix命令，很多有用的功能都没有，要想使用，智能编写工具软件。　　将正常的连接记录过滤之后，留下来的记录便相对来说比较少了。　　丁华辉再次将十分钟之前的记录全部过滤，只留下十分钟之内的。　　经过三番两次地这样过滤，他便得到了一份最终的记录结果。　　他首先检测入侵记录，看看对方是否已经通过什么漏洞突破了他们的防线，进入了系统中间进行肆意破坏。　　最终的检查结果是否定的，根本没有对方入侵的痕迹。　　他过了一遍惊讶地发现，里面的记录，看上去似乎都像是正常的，根本没有什么异常记录，也没有什么异常ip。　　“不可能，肯定有哪个地方没有看清楚。”　　丁华辉不得不从头开始重新检查了一遍。　　不得不说，丁华辉的耐心非常好，可能是他知道，要想从中找到有用的信息，不得不耐下心来，不放过任何一个蛛丝马迹。　　他反复过了好几遍之后，终于有所发现！　　“我靠了！”丁华辉忍不住说道，“一个数据包？这怎么可能？”　　他找来找去，终于找到了异常之处——仅仅只是一个syn同步数据包！　　syn即同步的意思，这个数据包，是在要连接的双方在进行三次握手的时候，申请方向服务器端发送的第一个数据包。　　这是一个非常小非常小的包，就是网络上常见的tcp/ip协议用来传输的数据包，其名称为ip数据报。　　在这个数据包的头部，有一个被称为“首部”的固定长度，总共是20字节，这是所有数据包都有的共同结构。　　在这个结构中，包含了一系列的信息，按照32位也就是4个字节为一段，前12个字节，包含了诸如版本、长度、