当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(3)

安全防护
注意防范搜索引擎网站的漏洞 避免遭受恶意攻击
IRC变种病毒在MSN上大行其道 可被黑客操纵
“关机能手”自动关闭电脑发起ARP攻击
打造SQL Server2000的安全策略
通过IE才能诱发 Firefox2.0发现重大漏洞
安全知识 当今最流行网络攻击六大趋势
安全防护:07月14日-16日病毒木马预警
用瑞星密码保护功能保护QQ密码
IE和Firefox混着用易遭黑客攻击
"卤猪"病毒毁你没商量 可让用户系统崩溃
自己动手删除各种病毒遗留文件
7月18日:瑞星播报--“灰鸽子变种HO”病毒
木马播报 警惕网上被“钓鱼”
危险病毒卤猪活动频繁 Linux等系统不受影响
即时通讯危险揭秘 网上聊天五大安全危机应对
揭密局域网计算机病毒独有的七大特点
利用DDOS攻击 网络安全公司大赚其钱
谨防小不点变种伪装成微软版本诱惑用户
通过移动存储设备传播的木马呈现上升趋势
jsp防盗链

安全防护 中的 使用NetFlow分析网络异常流量(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 37 ::
收藏到网摘: n/a

   (4)其它异常流量

    我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。

    以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

    2. 异常流量流向分析

    从异常流量流向来看,常见的异常流量可分为三种情况:

    网外对本网内的攻击
    本网内对网外的攻击
    本网内对本网内的攻击

    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
    124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。

    3. 异常流量产生的后果

    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。

    4. 异常流量的数据包类型

    常见的异常流量数据包形式有以下几种:
    ?TCP SYN flood(40字节)
    11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    ?ICMP flood
    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    ?UDP flood
    *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    ?其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1