常見異常流量及蠕蟲案例
1、TCP SYN flood(40字節)
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1
從NetFlow的採集數據可以看出,此異常流量的典型特徵是數據包協議類型爲6(TCP),數據流大小爲40字節(通常爲TCP的SYN連接請求)。
2、ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1
從NetFlow的採集數據可以看出,此異常流量的典型特徵是數據包協議類型爲1(ICMP),單個數據流字節數達218M字節。
3、UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1
從NetFlow的採集數據可以看出,此異常流量的典型特徵是數據包協議類型爲17(UDP),數據流有大有小。
4、其它類型
其它類型的異常流量也會在網絡中經常見到,從理論上來講,任何正常的數據包形式如果被大量濫用,都會產生異常流量,如以下的DNS正常訪問請求數據包(協
議類型53)如果大量發生,就會產生對DNS服務器的DoS攻擊。
211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1
5. 異常流量的源、目的地址
目的地址爲固定的真地址,這種情況下目的地址通常是被異常流量攻擊的對象
目的地址隨機生成,如下例數據:
目的地址有規律變化,如下例數據,目的地址在順序增加:
源地址爲僞造地址,這種情況源地址通常隨機生成,如下例數據,源地址都是僞造的網絡地址:
63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1
12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1
212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1
6. 異常流量的源、目的端口分析
異常流量的源端口通常會隨機生成,如下例數據:
多數異常流量的目的端口固定在一個或幾個端口,我們可以利用這一點,對異常流量進行過濾或限制,
211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1
211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1
211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1
2002年9月30日起發作,曾對許多網絡設備性能造成影響,2003年後逐漸減少。
61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1
61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1
61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1
NetFlow流數據典型特徵:目的端口137,協議類型UDP,字節數78。
2003年1月25日起爆發,造成全球互聯網幾近癱瘓,至今仍是互聯網中最常見的異常流量之一。
61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1
61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1
61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1
2003年8月12日起爆發,由其引發了危害更大的衝擊波殺手病毒。
211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1
211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1
211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1
2003年8月18日起發現,其產生的ICMP流量對全球互聯網造成了很大影響,2004年後病毒流量明顯減少。
211.*.*.91|211.*.*.77|Others|Others|4|0|0|2048|1|1|92|1
211.*.*.91|211.*.*.78|Others|Others|4|0|0|2048|1|1|92|1
211.*.*.91|211.*.*.79|Others|Others|4|0|0|2048|1|1|92|1
2004年5月爆發。
61.*.*.*|32.*.70.207|Others|Others|3|0|10000|445|6|1|48|1
61.*.*.*|24.*.217.23|Others|Others|3|0|10000|445|6|1|48|1
61.*.*.*|221.*.65.84|Others|Others|3|0|10000|445|6|1|48|1
NetFlow流數據典型特徵:目的端口445,協議類型TCP,字節數48
參考:http://baike.baidu.com/view/490587.htm
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.