三����、互聯網異常流量的NetFlow分析
要對互聯網異常流量進行分析,首先要深入了解其產生原理及特征���,以下將重點從NetFlow數據角度�����,對異常流量的種類�、流向、產生后果����、數據包類型、地址����、端口等多個方面進行分析。
1. 異常流量的種類
目前�,對互聯網造成重大影響的異常流量主要有以下幾種:
(1)拒絕服務攻擊(DoS)
DoS攻擊使用非正常的數據流量攻擊網絡設備或其接入的服務器,致使網絡設備或服務器的性能下降�,或占用網絡帶寬,影響其它相關用戶流量的正常通信�����,最終可能導致網絡服務的不可用����。
例如DoS可以利用TCP協議的缺陷,通過SYN打開半開的TCP連接�����,占用系統資源��,使合法用戶被排斥而不能建立正常的TCP連接��。
以下為一個典型的DoS SYN攻擊的NetFlow數據實例����,該案例中多個偽造的源IP同時向一個目的IP發起TCP SYN攻擊。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet協議本身的缺陷�����,IP包中的源地址是可以偽造的���,現在的DoS工具很多可以偽裝源地址���,這也是不易追蹤到攻擊源主機的主要原因。
(2)分布式拒絕服務攻擊(DDoS)
DDoS把DoS又發展了一步�����,將這種攻擊行為自動化�����,分布式拒絕服務攻擊可以協調多臺計算機上的進程發起攻擊,在這種情況下�����,就會有一股拒絕服務洪流沖擊網絡����,可能使被攻擊目標因過載而崩潰。
以下為一個典型的DDoS攻擊的NetFlow數據實例���,該案例中多個IP同時向一個IP發起UDP攻擊�����。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
(3)網絡蠕蟲病毒流量
網絡蠕蟲病毒的傳播也會對網絡產生影響���。近年來,Red Code��、SQL Slammer���、沖擊波���、振蕩波等病毒的相繼爆發����,不但對用戶主機造成影響����,而且對網絡的正常運行也構成了的危害����,因為這些病毒具有掃描網絡,主動傳播病毒的能力����,會大量占用網絡帶寬或網絡設備系統資源。
以下為最近出現的振蕩波病毒NetFlow數據實例��,該案例中一個IP同時向隨機生成的多個IP發起445端口的TCP連接請求����,其效果相當于對網絡發起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
鄭重聲明:本文版權歸原作者所有���,轉載文章僅為傳播更多信息之目的�����,如作者信息標記有誤���,請第一時間聯系我們修改或刪除���,多謝。
