入��R��系�l�IDS的协议分析与模式匚w��

胡意 — Tue, 01 May 2007 13:42:00 GMT

目前�Q�绝大多数IDS�Q�入侉|��系�l�）的检��机制还停留在：基本的数据包捕获加以非智能模式匹配与特征搜烦技术来探测��d��。而协议分析能够智能地“理解”协议，利用�|�络协议的高度规则性快速探��攻�ȝ��存在�Q�从而避免了模式匚w��所做的大量无用功——导致所需计算的大量减��?

特征模式匚w��技术的��程

模式匚w��技术按照以下方式进行操作：

�|�络上每一个数据包都被��查，��L��d��特征�Q?

与攻�ȝ��征相同长度的一�l�字节从可疑数据包首部取出，�q�对两组字节�q�行比较�Q?

如果两组字节一��P��d��特征卌��出来；

如果两组字节不一��P��d��特征“前�U�M��个字节”，重复比较��程�Q?

�W�二�ơ检��时�Q�特征与数据包中�W�二位开始的字节�q�行比较�Q?

该流�E�被重复�Q�每�ơ的比较起始位置都增加一个字节，直到所有的数据字节都与��d��特征�q�行比较�?

特征模式匚w��技术的两个�~�陷

特征模式匚w��技术有两个最�Ҏ��的缺��P��

计算的负载——持�l�该�q�算法则所需的计��量极其巨大�Q�对于满负蝲�?00Mbps以太�|�，需要的计算量将是：�Q�攻�ȝ��征字节数�Q�×（数据包字节数�Q�×（每秒的数据包敎ͼ�×�Q�数据库的攻�ȝ��征数�Q�。假设一个攻�ȝ��征有20字节�Q��^均数据包大小�?00字节�Q�每�U?0000个数据包�Q�数据库�?000个攻�ȝ��征，我们每秒��需要有360000000000字节的计��量。这��L��计算速率�q�远��过当今技术允许的范围。折中的�Ҏ��是通过在发��C��个字节不匚w��时就攑ּ��l�箋�Ҏ��Q�认��数据包安全，�q�样可以构造出一个所谓部分覆盖的IDS。因��U�系�l�有性能问题困扰�Q�因此容易被黑客利用�?

探测准确性——第二个�Ҏ��的缺��h��模式匚w��/特征搜烦技术��用固定的特征模式来探��攻凅R��用固定的特征模式��只能探��出明确的、唯一的攻�ȝ��征，即便是最��d��变换的攻��M��都会被忽略�?

特征模式匚w��IDS的根本问�?

一个基于模式匹配的IDS�pȝ��不能��地判断看��g��同字�W�串/命��o串的真实含义和最�l�效果。在模式匚w��pȝ��中，每一个这��L��变化都要求攻�ȝ��征数据库增加一个特征记录。这�U�技术运��规则的内在�~�陷使得所谓的庞大特征库实际上是徒劳的�Q�最后的�l�果往往是付出更高的计算负蝲�Q�而导致更多的丢包率，也就产生遗漏更多��d��的可能，黑客们往往利用�q�种�~�陷�q�行��d��?

��Z��模式匚w��技术的IDS的根本问题在于它把数据包作�ؓ一�p�d��随机变换的字节流�Q�它假设数据包的�l�构不可知。当模式匚w��被用来从大量随机变化数据�Q�如一个数据媄像或一个音频流中搜索特征模式时�Q�可以说是一个正��明智的�Ҏ��。模式匹配��Y件最初就是�ؓ分析数据影像和音频信息而开发的。但很明显，分析数据影像和分析网�l�通信协议是截然不同的。模式匹配��Y件可以在入��R��系�l�中使用�Q�但它绝不是理想的，因�ؓ它本�w�就不是被设计来完成�q�种��d��的�?img src ="http://www.aygfsteel.com/huyi2006/aggbug/114964.html" width = "1" height = "1" />

胡意 2007-05-01 21:42 发表评论

胡意 — Tue, 24 Apr 2007 02:55:00 GMT

[摘要] 本文从互联网�q�营商的视角�Q�利�?/font> NetFlow 分析手段�Q�对互联�|�异常流量的特征�q�行了深入分析，�q�而提出如何在�|�络层面对互联网异常��量采取防护措施�Q��ƈ�l�出了近�q�来一些典型互联网异常��量�?/font> NetFlow 分析案例�?/font>

关键词：互联�|?异常��量 NetFlow ��量分析 DoS/DDoS 蠕虫病毒

一、前�a�

本文从互联网�q�营商的视角�Q�对互联�|�异常流量的特征�q�行了深入分析，�q�而提出如何在�|�络层面对互联网异常��量采取防护措施�Q�其中重点讲�q�C�� NetFlow 分析在互联网异常��量防护中的应用及典型案例�?/font>

二�?/strong> NetFlow ��?/strong>

       本文对互联网异常��量的特征分析主要基�?/font> NetFlow 数据�Q�因此首先对 NetFlow 做简单介�l��?/font>

       1. NetFlow 概念

       NetFlow 是一�U�数据交换方式，其工作原理是�Q?/font> NetFlow 利用标准的交换模式处理数据流的第一个IP包数据，生成 NetFlow �~�存�Q�随后同��L��数据��Z��~�存信息在同一个数据流中进行传输，不再匚w��相关的访问控制等�{�略�Q?/font> NetFlow �~�存同时包含了随后数据流的统计信息�?

       一�?/font> NetFlow ��定义�ؓ在一个源IP地址和目的IP地址间传输的单向数据包流�Q�且所有数据包��h��共同的传输层源、目的端口号�?/font>

http://anheng.com.cn/news/22/588.html

        2. NetFlow 数据采集

       针对路由器送出�?/font> NetFlow 数据�Q�可以利�?/font> NetFlow 数据采集软�g存储到服务器上，以便利用各种 NetFlow 数据分析工具�q�行�q�一步的处理�?/font>

       Cisco提供了Cisco NetFlow Collector�Q�NFC�Q�采�?/font> NetFlow 数据�Q�其它许多厂家也提供�c�M��的采集��Y件�?/font>

       下例为利用NFC2.0采集的网�l�流量数据实例：
        211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
       ��Z��安全原因考虑�Q�本文中出现的IP地址均经�q�处理�?br />       NetFlow 数据也可以在路由器上直接查看�Q�以下�ؓ从Cisco GSR路由器采集的数据实例�Q�：
       gsr #att 2        �Q�登录采�?/font> NetFlow 数据的GSR 2槽板卡）
       LC-Slot2>sh ip cache flow
       SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
       Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
       Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A     1
       本文中的 NetFlow 数据分析均基于NFC采集的网�l�流量数据，针对路由器直接输出的Neflow数据�Q�也可以采用�c�M��Ҏ��分析�?br />

        3. NetFlow 数据采集格式说明

       NFC 可以定制多种 NetFlow 数据采集格式�Q�下例�ؓNFC2.0采集的一�U�流量数据实例，本文的分析都��Z��q�种格式�?br />       61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
       数据中各字段的含义如下：
       源地址|目的地址|源自��d��|目的自治域|��入接口号|��出接口号|源端口|目的端口|协议�c�d��|包数量|字节数|��数�?/font>

       4. 几点说明

       NetFlow 主要由Cisco路由器支持，对于其它厂家的网�l��品也有类似的功能�Q�例如Juniper路由器支持sFlow功能�?/font>

       NetFlow 支持情况与�\由器�c�d��、板卡类型、IOS版本、IOS授权都有关系�Q�不是在所有情况下都能使用�Q��用时需考虑自己的��Y��g配置情况�?/font>

       本文的所有分析数据均��Z��采自Cisco路由器的 NetFlow 数据�?/font>

http://anheng.com.cn/news/22/588.html

三、互联网异常��量�?/strong> NetFlow 分析

       要对互联�|�异常流量进行分析，首先要深入了解其产生原理及特征，以下��重点从 NetFlow 数据角度�Q�对异常��量的种�c�R��流向、��生后果、数据包�c�d��、地址、端口等多个斚w��q�行分析�?/font>

       1. 异常��量的种�c?/font>

       目前�Q�对互联�|�造成重大影响的异常流量主要有以下几种�Q?/font>

       �Q?�Q�拒�l�服务攻击（DoS�Q?

       DoS��d��使用非正常的数据��量��d��|�络讑֤�或其接入的服务器�Q�致使网�l�设备或服务器的性能下降�Q�或占用�|�络带宽�Q�媄响其它相关用��h��量的正常通信�Q�最�l�可能导致网�l�服务的不可用�?/font>

       例如DoS可以利用TCP协议的缺��P��通过SYN打开半开的TCP�q�接�Q�占用系�l�资源，使合法用戯��排斥而不能徏立正常的TCP�q�接�?/font>

       以下��Z��个典型的DoS SYN��d��?/font> NetFlow 数据实例�Q�该案例中多个伪造的源IP同时向一个目的IP发�vTCP SYN��d��。�?
       117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
       104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
       58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
       �׃��Internet协议本��n的缺��P��IP包中的源地址是可以伪造的�Q�现在的DoS工具很多可以伪装源地址�Q�这也是不易�q�踪到攻��L��L��的主要原因�?/font>

       �Q?�Q�分布式拒绝服务��d��Q�DDoS�Q?/font>

       DDoS把DoS又发展了一步，��这�U�攻击行��动化�Q�分布式拒绝服务��d��可以协调多台计算��Z��的进�E�发��h��击，在这�U�情况下�Q�就会有一股拒�l�服务洪��冲�ȝ��l�，可能使被��d��目标因过载而崩溃�?/font>

       以下��Z��个典型的DDoS��d��?/font> NetFlow 数据实例�Q�该案例中多个IP同时向一个IP发�vUDP��d��。�?
       61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
       211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
       61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1

       �Q?�Q�网�l�蠕虫病毒流�?/font>

       �|�络蠕虫病毒的传播也会对�|�络产生影响。近�q�来�Q�Red Code、SQL Slammer、冲��L�L、振荡�L�{�病毒的相��爆发�Q�不但对用户��L��造成影响�Q�而且对网�l�的正常�q�行也构成了的危宻I��因�ؓ�q�些病毒��h��扫描�|�络�Q�主动传播病毒的能力�Q�会大量占用�|�络带宽或网�l�设备系�l�资源�?/font>

       以下为最�q�出现的振荡波病�?/font> NetFlow 数据实例�Q�该案例中一个IP同时向随机生成的多个IP发�v445端口的TCP�q�接��h��Q�其效果相当于对�|�络发�vDoS��d��?br />       61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
       61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
       61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1

       �Q?�Q�其它异常流�?/font>

        我们把其它能够媄响网�l�正常运行的��量都归为异常流量的范畴�Q�例如一些网�l�扫描工具��生的大量TCP�q�接��h��Q�很�Ҏ��使一个性能不高的网�l�设备瘫痪�?/font>

        以下��Z��个IP�?67.*.210.�|�段�Q�针对UDP 137端口扫描�?/font> NetFlow 数据实例�Q?br />          211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
          211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
          211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1

http://anheng.com.cn/news/22/588.html

       2. 异常��量��向分析

       从异常流量流向来看，常见的异常流量可分�ؓ三种情况�Q?/font>

       ?�|�外�Ҏ��|�内的攻�?br />       ?本网内对�|�外的攻�?br />       ?本网内对本网内的��d��

       针对不同的异常流量流向，需要采用不同的防护及处理策略，所以判断异常流量流向是�q�一步防护的前提�Q�以下�ؓ�q�三�U�情�늚� NetFlow 数据实例�Q?
       124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
       211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
       211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
       其中211开头的地址为本�|�地址�?/font>

http://anheng.com.cn/news/22/588.html

       3. 异常��量产生的后�?/font>

       异常��量对网�l�的影响主要体现在两个方面：
       占用带宽资源使网�l�拥塞，造成�|�络丢包、时延增大，严重时可��D��|�络不可用；
       占用�|�络讑֤��pȝ��资源�Q�CPU、内存等�Q�，使网�l�不能提供正常的服务�?/font>

http://anheng.com.cn/news/22/588.html

       4. 异常��量的数据包�c�d��

       常见的异常流量数据包形式有以下几�U�：
       ?TCP SYN flood�Q?0字节�Q?
        11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
       �?/font> NetFlow 的采集数据可以看出，此异常流量的典型特征是数据包协议�c�d��?�Q�TCP�Q�，数据��大��ؓ40字节�Q�通常为TCP的SYN�q�接��h��Q��?br />       ?ICMP flood
       2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
       �?/font> NetFlow 的采集数据可以看出，此异常流量的典型特征是数据包协议�c�d��?�Q�ICMP�Q�，单个数据��字节数�?18M字节�?br />       ?UDP flood
       *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
       *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
       �?/font> NetFlow 的采集数据可以看出，此异常流量的典型特征是数据包协议�c�d��?7�Q�UDP�Q�，数据��有大有��?br />       ?其它�c�d��
       其它�c�d��的异常流量也会在�|�络中经常见刎ͼ�从理��Z��来讲�Q��Q何正常的数据包�Ş式如果被大量滥用�Q�都会��生异常流量，如以下的DNS正常讉K��h��数据包（协议�c�d��53�Q�如果大量发生，��׃��产生对DNS服务器的DoS��d��?br />       211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1

http://anheng.com.cn/news/22/588.html

       5. 异常��量的源、目的地址

       ?目的地址为固定的真地址�Q�这�U�情况下目的地址通常是被异常��量��d��的对象，如下例数据：
       211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|
17|2|3000|2
       211.*.*.153|*.10.72.226|
as2|as8|5|4|3845|10000|17|1|1500|1
       211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|
17|1|1500|1
       ?目的地址随机生成�Q�如下例数据�Q?br />       211.*.*.187|169.*.190.17|Others|localas|71|6|
1663|445|6|3|144|1
       211.*.*.187|103.*.205.148|Others|localas|71|6|
3647|445|6|3|144|1
       211.*.*.187|138.*.80.79|Others|localas|71|6|
1570|445|6|3|144|1
       ?目的地址有规律变化，如下例数据，目的地址在顺序增加：
       211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
       211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
       211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
       ?源地址为真实IP地址�Q�数据同上例�Q?br />       ?源地址��Z��造地址�Q�这�U�情冉|��地址通常随机生成�Q�如下例数据�Q�源地址都是伪造的�|�络地址�Q?br />       63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|
1|40|1
       12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|
1|40|1
       212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|
1|40|1

http://anheng.com.cn/news/22/588.html

       6. 异常��量的源、目的端口分�?/font>

       ?异常��量的源端口通常会随机生成，如下例数据：
       211.*.*.187|169.172.190.17|Others|localas|71|
6|1663|445|6|3|144|1
       211.*.*.187|103.210.205.148|Others|localas|71|
6|3647|445|6|3|144|1
       211.*.*.187|138.241.80.79|Others|localas|71|6|
1570|445|6|3|144|1
       ?多数异常��量的目的端口固定在一个或几个端口�Q�我们可以利用这一点，对异常流量进行过滤或限制�Q�如下例数据�Q�目的端口�ؓUDP 6789�Q?br />       211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
       211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
       211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3

http://anheng.com.cn/news/22/588.html

四、利�?/strong> NetFlow 工具处理防范�|�络异常��量

       从某�U�程度上来讲�Q�互联网异常��量永远不会消失而且从技术上目前没有�Ҏ��的解军_��法，但对�|�管人员来说�Q�可以利用许多技术手�D�分析异常流量，减小异常��量发生时带来的影响和损失，以下是处理网�l�异常流量时可以采用的一些方法及工具�Q?br />

      1. 判断异常��量��向

       因�ؓ目前多数�|�络讑֤�只提供物理端口入��量�?/font> NetFlow 数据�Q�所以采集异常流�?/font> NetFlow 数据之前�Q�首先要判断异常��量的流向，�q�而选择合适的物理端口去采集数据�?/font>

       ��量监控��理软�g是判断异常流量流向的有效工具�Q�通过��量大小变化的监控，可以帮助我们发现异常��量�Q�特别是大流量异常流量的��向�Q�从而进一步查扑ּ�常流量的源、目的地址�?/font>

       目前最常用的流量监控工��h��免费软�gMRTG�Q�下图�ؓ利用MRTG监测到的�|�络异常��量实例�Q�可以看��监测讑֤�端口在当�?�Q?0�?�Q?0之间产生了几十Mbps的异常流量，造成了该端口的拥塞（峰值流量被拉��^�Q��?/font>

       如果能够��流量监��部�|�到全网�Q�这样在�c�M��异常��量发生�Ӟ��p��q�速找到异常流量的源或目标接入讑֤�端口�Q�便于快速定位异常流量流向�?/font>

       有些异常��量发生时�ƈ不体��Cؓ大流量的产生�Q�这�U�情况下�Q�我们也可以�l�合异常��量发生时的其它现象判断其流向，如设备端口的包�{发速率、网�l�时延、丢包率、网�l�设备的CPU利用率变化等因素。     �?

http://anheng.com.cn/news/22/588.html

       2. 采集分析 NetFlow 数据

       判断异常��量的流向后�Q�就可以选择合适的�|�络讑֤�端口�Q�实施Neflow配置�Q�采集该端口入流量的 NetFlow 数据�?/font>

       以下是在Cisco GSR路由器GigabitEthernet10/0端口上打开 NetFlow 的配�|�实例：
       ip flow-export source Loopback0
       ip flow-export destination *.*.*.61 9995
       ip flow-sampling-mode packet-interval 100
       interface GigabitEthernet10/0
       ip route-cache flow sampled
       通过该配�|�把��入到GigabitEthernet10/0�?/font> NetFlow 数据送到 NetFlow 采集�?.*.*.61�Q�该实例中采用sampled模式�Q�采样间隔�ؓ100:1�?/font>

        3. 处理异常��量的方�?/font>

       �Q?�Q�切断连�?br />       在能够确定异常流量源地址且该源地址讑֤�可控的情况下�Q�切断异常流量源讑֤�的物理连接是最直接的解军_��法�?/font>

       �Q?�Q�过�?br />       采用ACL�Q�Access Control List�Q�过滤能够灵�z�d��现针�Ҏ��目的IP地址、协议类型、端口号�{�各�U��Ş式的�q��o�Q�但同时也存在消耗网�l�设备系�l�资源的副作用，下例为利用ACL�q��oUDP 1434端口的实例：
       access-list 101 deny   udp any any eq 1434
       access-list 101 permit ip any any
       此过滤针对蠕虫王病毒�Q�SQL Slammer�Q�，但同时也�q��o了针对SQL Server的正常访问，如果要保证对SQL Server的正常访问，�q�可以根据病毒流数据包的大小特征实施更细化的�q��o�{�略�Q�本文略�Q��?/font>

       �Q?�Q�静态空路由�q��o
       能确定异常流量目标地址的情况下�Q�可以用静态�\由把异常��量的目标地址指向�I�（Null�Q�，�q�种�q��o几乎不消耗�\由器�pȝ��资源�Q�但同时也过滤了对目标地址的正常访问，配置实例如下�Q?br />       ip route 205.*.*.2 255.255.255.255 Null 0
       对于多�\由器的网�l�，�q�需增加相关动态�\由配�|�，保证�q��o在全�|�生效�?/font>

       �Q?�Q�异常流量限�?br />       利用路由器CAR功能�Q�可以将异常��量限定在一定的范围�Q�这�U�过滤也存在消耗�\由器�pȝ��资源的副作用�Q�以下�ؓ利用CAR限制UDP 1434端口��量的配�|�实例：
       Router# (config) access-list 150 deny udp any any eq 1434
       Router# (config) access-list 150 permit ip any any
       Router# (config) interface fastEthernet 0/0
       Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
       conform-action drop exceed-action drop
       此配�|�限定UDP 1434端口的流量�ؓ8Kbps�?/font>

http://anheng.com.cn/news/22/588.html

五、常见蠕虫病毒的 NetFlow 分析案例

       利用上诉�Ҏ��可以分析目前互联�|�中存在的大多数异常��量�Q�特别是对于�q�年来在互联�|�中造成较大影响的多数蠕虫病毒，其分析效果非常明显，以下为几�U�蠕虫病毒的 NetFlow 分析实例�Q?/font>

       1. �U�色代码 (Code Red Worm)
       2001�q?月�v发作�Q�至今仍在网�l�流量中�l�常出现�?br />        211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
        211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
        211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
       NetFlow ��数据典型特征：目的端口80, 协议�c�d��80�Q�包数量3�Q�字节数144�?/font>

       2. ��盘杀手（worm.opasoft�Q�W32.Opaserv.Worm�Q?br />        2002�q?�?0日�v发作�Q�曾对许多网�l�设备性能造成影响�Q?003�q�后逐渐减少�?br />        61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
        61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
        61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
       NetFlow ��数据典型特征：目的端口137�Q�协议类型UDP�Q�字节数78�?/font>

        3. 2003蠕虫�?(Worm.NetKiller2003�Q�WORM_SQLP1434�Q�W32.Slammer�Q�W32.SQLExp.Worm)
       2003�q?�?5日�v爆发�Q�造成全球互联�|�几�q�瘫痪，至今仍是互联�|�中最常见的异常流量之一�?br />        61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
        61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
        61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
       NetFlow ��数据典型特征：目的端口1434�Q�协议类型UDP�Q�字节数404

       4. 冲击�?(WORM.BLASTER�Q�W32.Blaster.Worm)
       2003�q?�?2日�v爆发�Q�由其引发了危害更大的冲��L�L杀手病毒�?br />        211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
        211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
        211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
       典型特征�Q�目的端�?35�Q�协议类型TCP�Q�字节数48

       5. 冲击波杀手（Worm.KillMsBlast�Q�W32.Nachi.worm�Q�W32.Welchia.Worm�Q?br />       2003�q?�?8日�v发现�Q�其产生的ICMP��量对全球互联网造成了很大媄响，2004�q�后病毒��量明显减少�?br />       211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
        211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
        211.*.*.91|211.*.*.79|Others|Others|4|0|0|
2048|1|1|92|1
       NetFlow ��数据典型特征：目的端口2048�Q�协议类型ICMP�Q�字节数92

       6. 振荡�?Worm.Sasser�Q�W32.Sasser)
       2004�q?月爆发�?br />       61.*.*.*|32.*.70.207|Others|Others|3|0|10000|
445|6|1|48|1
       61.*.*.*|24.*.217.23|Others|Others|3|0|10000|
445|6|1|48|1
       61.*.*.*|221.*.65.84|Others|Others|3|0|10000|
445|6|1|48|1
       NetFlow ��数据典型特征：目的端口445�Q�协议类型TCP�Q�字节数48
       从以上案例可以看出，蠕虫爆发�Ӟ��应用Neflow分析�Ҏ��Q�可以根据病毒流量的 NetFlow 特征快速定位感染病毒的IP地址�Q��ƈ参�?/font> NetFlow 数据��的其它特征在网�l�设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的�?/font>

http://anheng.com.cn/news/22/588.html

六、�ȝ��

       处理分析�|�络异常��量存在许多其它�Ҏ��Q�如我们可以利用IDS、协议分析��A、网�l�设备的Log、Debug、ip accounting�{�功能查扑ּ�常流量来源，但这些方法的应用因各�U�原因受到限�Ӟ��如效率低、对�|�络讑֤�的性能影响、数据不易采集等因素�?/font>

       利用 NetFlow 分析�|�络异常��量也存在一些限制条�Ӟ��如需要网�l�设备对 NetFlow 的支持，需要分�?/font> NetFlow 数据的工兯��Y�Ӟ��需要网�l�管理员准确区分正常��量数据和异常流量数据等�?/font>

但相比其它方法，利用 NetFlow 分析�|�络异常��量因其方便、快捗��高效的特点�Q��ؓ��来��多的网�l�管理员所接受�Q�成��Z��联网安全��理的重要手�D�，特别是在较大�|�络的管理中�Q�更能体现出其独特优�ѝ�?/font>

参考文�?br />[1] NetFlow Overview
[2] NetFlow Export Datagram Format
[3]Customizing FlowCollector
[4]SAFE SQL Slammer Worm Attack Mitigation
[5]病毒与安�?/font>

胡意 2007-04-24 10:55 发表评论

av最新在线,一本一道dvd在线观看免费视频,亚洲乱码国产乱码精品精天堂

入��R������系�l�IDS的协议分析与模式匚w��

入��R��系�l�IDS的协议分析与模式匚w��