当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(6)

安全防护
2003服务器防止海洋木马的安全设置(1)
2003服务器防止海洋木马的安全设置(2)
2003服务器防止海洋木马的安全设置(3)
加固脆弱的IIS服务
linux操作系统的优化及安全配置(1)
linux操作系统的优化及安全配置(2)
linux操作系统的优化及安全配置(3)
Server2003 DNS服务安装篇(2)
Server2003 DNS服务安装篇(3)
Server2003 DNS服务安装篇(4)
WindowsServer2003安全事件ID分析(1)
WindowsServer2003安全事件ID分析(2)
打造安全的Windows 2003系统(5)
Win2003 Server手动设置全攻略(1)
Win2003 Server手动设置全攻略(2)
Win2003 Server手动设置全攻略(3)
Win2003 Server手动设置全攻略(4)
搜索型注入之我看
为Windows 2003安全—层层设防(1)
为Windows 2003安全—层层设防(2)

安全防护 中的 使用NetFlow分析网络异常流量(6)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 48 ::
收藏到网摘: n/a

  五、常见蠕虫病毒的NetFlow分析案例

    利用上诉方法可以分析目前互联网中存在的大多数异常流量,特别是对于近年来在互联网中造成较大影响的多数蠕虫病毒,其分析效果非常明显,以下为几种蠕虫病毒的NetFlow分析实例:

    1. 红色代码 (Code Red Worm)
    2001年7月起发作,至今仍在网络流量中经常出现。
    211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
    211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
    211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
    NetFlow流数据典型特征:目的端口80, 协议类型80,包数量3,字节数144。

    2. 硬盘杀手(worm.opasoft,W32.Opaserv.Worm)
    2002年9月30日起发作,曾对许多网络设备性能造成影响,2003年后逐渐减少。
    61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
    61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
    61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
    NetFlow流数据典型特征:目的端口137,协议类型UDP,字节数78。

    3. 2003蠕虫王 (Worm.NetKiller2003,WORM_SQLP1434,W32.Slammer,W32.SQLExp.Worm)
    2003年1月25日起爆发,造成全球互联网几近瘫痪,至今仍是互联网中最常见的异常流量之一。
    61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
    61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
    61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
    NetFlow流数据典型特征:目的端口1434,协议类型UDP,字节数404

    4. 冲击波 (WORM.BLASTER,W32.Blaster.Worm)
    2003年8月12日起爆发,由其引发了危害更大的冲击波杀手病毒。
    211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
    211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
    211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
    典型特征:目的端口135,协议类型TCP,字节数48

    5. 冲击波杀手(Worm.KillMsBlast,W32.Nachi.worm,W32.Welchia.Worm)
    2003年8月18日起发现,其产生的ICMP流量对全球互联网造成了很大影响,2004年后病毒流量明显减少。
    211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
    211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
    211.*.*.91|211.*.*.79|Others|Others|4|0|0|
2048|1|1|92|1
    NetFlow流数据典型特征:目的端口2048,协议类型ICMP,字节数92

    6. 振荡波(Worm.Sasser,W32.Sasser)
    2004年5月爆发。
    61.*.*.*|32.*.70.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.217.23|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|221.*.65.84|Others|Others|3|0|10000|
445|6|1|48|1
    NetFlow流数据典型特征:目的端口445,协议类型TCP,字节数48
    从以上案例可以看出,蠕虫爆发时,应用Neflow分析方法,可以根据病毒流量的NetFlow特征快速定位感染病毒的IP地址,并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施,从而达到抑制病毒流量传播的目的。