当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(2)

安全防护
防止黑客入侵最高招:关闭系统端口
应用服务器的常见安全管理漏洞
网站安全维护的基石 做好远程服务器数据安全
分析并清除web服务器上的网页木马
网站防篡改 立即部署WEB应用防火墙(图)
网站安全需求分析
PubwinEP如何防止远程修改数据库
让黑客远离DNS和SMTP服务器攻击
服务器安全管理的四个注意事项
从入侵者角度谈服务器安全基本配置
防黑 加强Linux安全管理的方法
检测Linux系统是否被黑的技巧
检测Linux系统是否被黑的系统技巧
权限控制策略 提高数据库服务器安全
网站服务器通用和专用保护方法比较分析
保证Linux系统安全 从防范漏洞做起
Windows防范非法入侵的七大绝招
确保服务器稳定七大注意事项
用脚本类IDS抵御针对WEB的攻击
解析拒绝服务攻击的攻击技术

安全防护 中的 使用NetFlow分析网络异常流量(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 52 ::
收藏到网摘: n/a

  三、互联网异常流量的NetFlow分析

    要对互联网异常流量进行分析,首先要深入了解其产生原理及特征,以下将重点从NetFlow数据角度,对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。

    1. 异常流量的种类

    目前,对互联网造成重大影响的异常流量主要有以下几种:


    (1)拒绝服务攻击(DoS)

    DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。

    例如DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。

    以下为一个典型的DoS SYN攻击的NetFlow数据实例,该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。
    117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
    104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
    58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
    由于Internet协议本身的缺陷,IP包中的源地址是可以伪造的,现在的DoS工具很多可以伪装源地址,这也是不易追踪到攻击源主机的主要原因。


    (2)分布式拒绝服务攻击(DDoS)

    DDoS把DoS又发展了一步,将这种攻击行为自动化,分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击,在这种情况下,就会有一股拒绝服务洪流冲击网络,可能使被攻击目标因过载而崩溃。

    以下为一个典型的DDoS攻击的NetFlow数据实例,该案例中多个IP同时向一个IP发起UDP攻击。
    61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
    211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
    61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1

    (3)网络蠕虫病毒流量

    网络蠕虫病毒的传播也会对网络产生影响。近年来,Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发,不但对用户主机造成影响,而且对网络的正常运行也构成了的危害,因为这些病毒具有扫描网络,主动传播病毒的能力,会大量占用网络带宽或网络设备系统资源。

    以下为最近出现的振荡波病毒NetFlow数据实例,该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求,其效果相当于对网络发起DoS攻击。
    61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
    61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

445|6|1|48|1