当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(3)

安全防护
2003服务器A级BT安全配置指南(12)
2003服务器A级BT安全配置指南(13)
修改用户控制权限管理自启动文件
IIS6.0下建立FTP“用户隔离”站点
SQL Server数据库安全规划全攻略(1)
从IIS到SQL Server数据库安全
匿名FTP的安全设定(1)
匿名FTP的安全设定(2)
SQL Server防范措施(2)
域名解析优化也会有麻烦
10个步骤保护IIS Web服务器安全
突破SQL错误提示上传webshell
判断Web数据库方式的一个小经验
sqlserver取得网站路径的几种方法以及比较(1)
sqlserver取得网站路径的几种方法以及比较(2)
阿江的WINDOWS服务器安全设置
RAdmin 服务端高级配置(2)
Win2000安全检查清单(1)
Win2000安全检查清单(2)
Win2000安全检查清单(3)

安全防护 中的 使用NetFlow分析网络异常流量(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 41 ::
收藏到网摘: n/a

   (4)其它异常流量

    我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。

    以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

    2. 异常流量流向分析

    从异常流量流向来看,常见的异常流量可分为三种情况:

    网外对本网内的攻击
    本网内对网外的攻击
    本网内对本网内的攻击

    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
    124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。

    3. 异常流量产生的后果

    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。

    4. 异常流量的数据包类型

    常见的异常流量数据包形式有以下几种:
    ?TCP SYN flood(40字节)
    11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    ?ICMP flood
    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    ?UDP flood
    *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    ?其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1