当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(3)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 使用NetFlow分析网络异常流量(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 47 ::
收藏到网摘: n/a

   (4)其它异常流量

    我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。

    以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

    2. 异常流量流向分析

    从异常流量流向来看,常见的异常流量可分为三种情况:

    网外对本网内的攻击
    本网内对网外的攻击
    本网内对本网内的攻击

    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
    124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。

    3. 异常流量产生的后果

    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。

    4. 异常流量的数据包类型

    常见的异常流量数据包形式有以下几种:
    ?TCP SYN flood(40字节)
    11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    ?ICMP flood
    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    ?UDP flood
    *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    ?其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1