当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(4)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 使用NetFlow分析网络异常流量(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 45 ::
收藏到网摘: n/a

    5. 异常流量的源、目的地址

    目的地址为固定的真地址,这种情况下目的地址通常是被异常流量攻击的对象,如下例数据:
    211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|
17|2|3000|2
    211.*.*.153|*.10.72.226|
as2|as8|5|4|3845|10000|17|1|1500|1
    211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|
17|1|1500|1
    目的地址随机生成,如下例数据:
    211.*.*.187|169.*.190.17|Others|localas|71|6|
1663|445|6|3|144|1
    211.*.*.187|103.*.205.148|Others|localas|71|6|
3647|445|6|3|144|1
    211.*.*.187|138.*.80.79|Others|localas|71|6|
1570|445|6|3|144|1
    目的地址有规律变化,如下例数据,目的地址在顺序增加:
    211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
    211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
    211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
    源地址为真实IP地址,数据同上例:
    源地址为伪造地址,这种情况源地址通常随机生成,如下例数据,源地址都是伪造的网络地址:
    63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|
1|40|1
    12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|
1|40|1
    212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|
1|40|1

    6. 异常流量的源、目的端口分析

    异常流量的源端口通常会随机生成,如下例数据:
    211.*.*.187|169.172.190.17|Others|localas|71|
6|1663|445|6|3|144|1
    211.*.*.187|103.210.205.148|Others|localas|71|
6|3647|445|6|3|144|1
    211.*.*.187|138.241.80.79|Others|localas|71|6|
1570|445|6|3|144|1
    多数异常流量的目的端口固定在一个或几个端口,我们可以利用这一点,对异常流量进行过滤或限制,如下例数据,目的端口为UDP 6789:
    211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
    211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
    211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3