当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(3)

安全防护
为Windows 2003安全—层层设防(3)
为Windows 2003安全—层层设防(4)
修改IIS的Banner隐藏操作系统版本
以毒攻毒!IIS Banner巧伪装
四招加强Windows 2003安全性
深入剖析EFS(2)
设置Active Directory域(1)
设置Active Directory域(2)
Rootkit分析(1)
Rootkit分析(2)
Rootkit分析(3)
Windows域信任关系建立全攻略
关于网站木马的解释(1)
关于网站木马的解释(2)
hdsi2.0 sql注入部分抓包(1)
hdsi2.0 sql注入部分抓包(2)
hdsi2.0 sql注入部分抓包(3)
hdsi2.0 sql注入部分抓包(4)
建造永不被杀的80端口后门(1)
建造永不被杀的80端口后门(2)

安全防护 中的 使用NetFlow分析网络异常流量(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 39 ::
收藏到网摘: n/a

   (4)其它异常流量

    我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。

    以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

    2. 异常流量流向分析

    从异常流量流向来看,常见的异常流量可分为三种情况:

    网外对本网内的攻击
    本网内对网外的攻击
    本网内对本网内的攻击

    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
    124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。

    3. 异常流量产生的后果

    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。

    4. 异常流量的数据包类型

    常见的异常流量数据包形式有以下几种:
    ?TCP SYN flood(40字节)
    11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    ?ICMP flood
    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    ?UDP flood
    *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    ?其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1