当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(2)

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 使用NetFlow分析网络异常流量(2)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 38 ::
收藏到网摘: n/a

  三、互联网异常流量的NetFlow分析

    要对互联网异常流量进行分析,首先要深入了解其产生原理及特征,以下将重点从NetFlow数据角度,对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。

    1. 异常流量的种类

    目前,对互联网造成重大影响的异常流量主要有以下几种:


    (1)拒绝服务攻击(DoS)

    DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。

    例如DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。

    以下为一个典型的DoS SYN攻击的NetFlow数据实例,该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。
    117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
    104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
    58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
    由于Internet协议本身的缺陷,IP包中的源地址是可以伪造的,现在的DoS工具很多可以伪装源地址,这也是不易追踪到攻击源主机的主要原因。


    (2)分布式拒绝服务攻击(DDoS)

    DDoS把DoS又发展了一步,将这种攻击行为自动化,分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击,在这种情况下,就会有一股拒绝服务洪流冲击网络,可能使被攻击目标因过载而崩溃。

    以下为一个典型的DDoS攻击的NetFlow数据实例,该案例中多个IP同时向一个IP发起UDP攻击。
    61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
    211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
    61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1

    (3)网络蠕虫病毒流量

    网络蠕虫病毒的传播也会对网络产生影响。近年来,Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发,不但对用户主机造成影响,而且对网络的正常运行也构成了的危害,因为这些病毒具有扫描网络,主动传播病毒的能力,会大量占用网络带宽或网络设备系统资源。

    以下为最近出现的振荡波病毒NetFlow数据实例,该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求,其效果相当于对网络发起DoS攻击。
    61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
    61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

445|6|1|48|1