当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(6)

安全防护
服务器安全设置(十六)
服务器安全设置(十七)
服务器安全设置(十八)
服务器安全设置(十九)
服务器安全设置(二十)
服务器安全设置(二十一)
服务器安全设置(二十二)
Windows Server 2003 虚拟主机的安全配置
Win2000 Server入侵监测
Web服务器的安全和攻击防范 (一)
Web服务器的安全和攻击防范 (二)
Web服务器的安全和攻击防范 (三)
Web服务器的安全和攻击防范 (四)
Web服务器的安全和攻击防范 (五)
安全配置和维护Apache WEB Server (上)
安全配置和维护Apache WEB Server (下)
安全性与IIS (一)
安全性与IIS (二)
安全性与IIS (三)
安全性与IIS (四)

安全防护 中的 使用NetFlow分析网络异常流量(6)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 51 ::
收藏到网摘: n/a

  五、常见蠕虫病毒的NetFlow分析案例

    利用上诉方法可以分析目前互联网中存在的大多数异常流量,特别是对于近年来在互联网中造成较大影响的多数蠕虫病毒,其分析效果非常明显,以下为几种蠕虫病毒的NetFlow分析实例:

    1. 红色代码 (Code Red Worm)
    2001年7月起发作,至今仍在网络流量中经常出现。
    211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
    211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
    211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
    NetFlow流数据典型特征:目的端口80, 协议类型80,包数量3,字节数144。

    2. 硬盘杀手(worm.opasoft,W32.Opaserv.Worm)
    2002年9月30日起发作,曾对许多网络设备性能造成影响,2003年后逐渐减少。
    61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
    61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
    61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
    NetFlow流数据典型特征:目的端口137,协议类型UDP,字节数78。

    3. 2003蠕虫王 (Worm.NetKiller2003,WORM_SQLP1434,W32.Slammer,W32.SQLExp.Worm)
    2003年1月25日起爆发,造成全球互联网几近瘫痪,至今仍是互联网中最常见的异常流量之一。
    61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
    61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
    61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
    NetFlow流数据典型特征:目的端口1434,协议类型UDP,字节数404

    4. 冲击波 (WORM.BLASTER,W32.Blaster.Worm)
    2003年8月12日起爆发,由其引发了危害更大的冲击波杀手病毒。
    211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
    211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
    211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
    典型特征:目的端口135,协议类型TCP,字节数48

    5. 冲击波杀手(Worm.KillMsBlast,W32.Nachi.worm,W32.Welchia.Worm)
    2003年8月18日起发现,其产生的ICMP流量对全球互联网造成了很大影响,2004年后病毒流量明显减少。
    211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
    211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
    211.*.*.91|211.*.*.79|Others|Others|4|0|0|
2048|1|1|92|1
    NetFlow流数据典型特征:目的端口2048,协议类型ICMP,字节数92

    6. 振荡波(Worm.Sasser,W32.Sasser)
    2004年5月爆发。
    61.*.*.*|32.*.70.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.217.23|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|221.*.65.84|Others|Others|3|0|10000|
445|6|1|48|1
    NetFlow流数据典型特征:目的端口445,协议类型TCP,字节数48
    从以上案例可以看出,蠕虫爆发时,应用Neflow分析方法,可以根据病毒流量的NetFlow特征快速定位感染病毒的IP地址,并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施,从而达到抑制病毒流量传播的目的。