当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(2)

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 使用NetFlow分析网络异常流量(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 32 ::
收藏到网摘: n/a

  三、互联网异常流量的NetFlow分析

    要对互联网异常流量进行分析,首先要深入了解其产生原理及特征,以下将重点从NetFlow数据角度,对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。

    1. 异常流量的种类

    目前,对互联网造成重大影响的异常流量主要有以下几种:


    (1)拒绝服务攻击(DoS)

    DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。

    例如DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。

    以下为一个典型的DoS SYN攻击的NetFlow数据实例,该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。
    117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
    104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
    58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
    由于Internet协议本身的缺陷,IP包中的源地址是可以伪造的,现在的DoS工具很多可以伪装源地址,这也是不易追踪到攻击源主机的主要原因。


    (2)分布式拒绝服务攻击(DDoS)

    DDoS把DoS又发展了一步,将这种攻击行为自动化,分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击,在这种情况下,就会有一股拒绝服务洪流冲击网络,可能使被攻击目标因过载而崩溃。

    以下为一个典型的DDoS攻击的NetFlow数据实例,该案例中多个IP同时向一个IP发起UDP攻击。
    61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
    211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
    61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1

    (3)网络蠕虫病毒流量

    网络蠕虫病毒的传播也会对网络产生影响。近年来,Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发,不但对用户主机造成影响,而且对网络的正常运行也构成了的危害,因为这些病毒具有扫描网络,主动传播病毒的能力,会大量占用网络带宽或网络设备系统资源。

    以下为最近出现的振荡波病毒NetFlow数据实例,该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求,其效果相当于对网络发起DoS攻击。
    61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
    61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

445|6|1|48|1