当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(3)

安全防护
360安全卫士3.6beta发布 查杀15万种木马
最佳安全实践:锁定IIS和SQL服务器
机房的硬件防火墙到底能不能防DDOS?
服务器安全:防范拒绝服务攻击妙招
服务器安全:从“治标”到“治本”
重点评论黑客袭击服务器和网站种种
全方位堵住Windows 2003的安全隐患
红客必学:Windows权限设置详解
Windows 2003安全指南之强化IAS服务器
windows日志的保护与伪造
Windows Internet服务器安全配置原理篇
Windows 2003 Server安全配置完整篇(1)
Windows 2003 Server安全配置完整篇(2)
Windows 2003 Server安全配置完整篇(3)
Windows 2003 Server安全配置完整篇(4)
服务器安全配置精华技巧
网管必知 如何设置虚拟主机访问权限
运用CrackLib构建安全的Unix口令
命令行下也玩IPsec
使用IIS为Web内容配置Web服务器权限

安全防护 中的 使用NetFlow分析网络异常流量(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 49 ::
收藏到网摘: n/a

   (4)其它异常流量

    我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。

    以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

    2. 异常流量流向分析

    从异常流量流向来看,常见的异常流量可分为三种情况:

    网外对本网内的攻击
    本网内对网外的攻击
    本网内对本网内的攻击

    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
    124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。

    3. 异常流量产生的后果

    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。

    4. 异常流量的数据包类型

    常见的异常流量数据包形式有以下几种:
    ?TCP SYN flood(40字节)
    11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    ?ICMP flood
    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    ?UDP flood
    *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
    从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    ?其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1