思科網絡流量分析器:網絡行爲分析與拒絕服務***(DDOS)
Plixer首席執行官Michael Patterson回答了有關***者用來破壞網絡的***策略的9個問題,並且說明了網絡行爲分析對於對抗這些***是否有用。
1.到底什麼是拒絕服務***
拒絕服務***是企圖讓一臺計算機的資源無法被其指定用戶使用的***方法。
雖然拒絕服務***的手段、動機和目標可能多種多樣,但是,拒絕服務***一般都包括一個人或者若干人的協調一致的惡意努力,以阻止一個網站或者服務有效地發揮功能或者使它們完全失去功能,臨時或者不定期地失去功能。一些被攻破的計算機系統集中起來實施某種拒絕服務***就是僵屍網絡。
2.你如何解釋一個僵屍網絡
僵屍網絡是一個軟件機器人的集合。這些軟件機器人自主地和自動地運行。它們在***者遠程控制的一些“殭屍”計算機上運行。這也可以指使用分佈式計算軟件的計算機的網絡。
3.你能解釋一下P2P網絡的DDoS***嗎
可以。***者發現了利用P2P服務器中的許多安全漏洞實施DDoS(分佈式拒絕服務***)的一種方法。P2P分佈式拒絕服務***中最積極的方法是利用DC++中的安全漏洞。P2P***與基於僵屍網絡的***是不同的。P2P***中沒有殭屍電腦,***者不必與其攻破的客戶機進行溝通。相反,***者能夠像“木偶操縱者”一樣向大型P2P文件共享網絡的客戶機下達指令,並且連接到受害者的網站。因此,數百臺計算機可能會積極地連接一個目標網站。雖然一個典型的網絡服務器每秒鐘能夠處理幾百個連接,超過一定的數量纔會引起性能下降,但是,大多數網絡服務器在每秒中處理5千或者6千個連接的時候就會出故障。
4.網絡流量分析能夠用來識別蠕蟲傳播嗎
不經常用於識別蠕蟲傳播。使用病毒特徵能夠輕鬆地識別出傳統的分佈式拒絕服務***蠕蟲傳播。一個應用程序使用病毒特徵與每一個數據包的數據字段中的字節進行比較。在目前的大多數網絡流量收集環境中,都沒有這個數據字段。
思科IOS網絡流量分析基礎設施
靈活的網絡流量分析並不多。但是,網絡流量分析確實能夠啓動一個直接緩存,實際捕捉每一個數據包的前幾百個字節。捕捉的數據隨後發送到一個數據包分析器或者***檢測系統。然而,這種直接緩存的方法也有一個問題:在NetFlow第五版和或者第九版中通常沒有足夠的信息來檢測許多蠕蟲傳播。因此,廠商必須要創造性地處理如何以及何時使用靈活的網絡流量分析工具啓動一個直接的緩存。這個問題仍待解決。
下圖是思科IOS Flexible NetFlow的流量監視和收集的輸出數據
5.sFlow的情況如何
這個採樣技術通常設置用來捕捉億臺交換機的每個接口的百分之一或者千分之一的數據包。可以設置更詳細的採樣,不過,這樣一來會很快吞沒多數採集器。由於是採樣的性質,一些人認爲,對於許多基於IP的網絡行爲分析算法來說,sFlow固定地就沒有網絡流量分析那樣有用。有人會建議把sFlow交換機與一個網絡流量探測功能結合起來以便擴大這個投資。
6.如何使用當前的網絡流量分析技術發現哪一個端點系統正在緩慢地傳播感染
簡言之,最流行的NetFlow第五版提供了TCP標記,對於識別正在進行之中的分佈式拒絕服務***是非常有用的。但是,沒有某種類型的流量分析,使用NetFlow軟件緩存殭屍電腦的實際傳播數據是很困難的。
7.什麼是ICP標記
這是一個很大的問題。我建議你們閱讀Yiming Gon的文章。
總的來說,開始一個正常的TCP連接包含的三次握手包括:
·首先,一個客戶將向目標主機發送一個同步數據包
·然後,目標主機發回一個同步/確認數據包
·客戶機確認目標主機的確認信息
·一個連接就建立起來了
下面的圖表說明了這個握手過程:
例如,讓我們說一個同步數據包到達了一臺主機的目標端口。如果這個端口是打開的,這個蠕蟲發送的同步請求就會得到迴應。不管那個端口運行的服務是否有安全漏洞都是如此。然後,標準的TCP三次握手將完成,隨後是攜帶PUSH和ACK等其它TCP標記的數據包。
使用NetFlow第五版識別分佈式拒絕服務***的一個方法是:
·搜索收集的流量記錄並且過濾掉只有同步字節集的全部流量記錄
·提取每一個流量記錄的源IP地址
·計算每一個獨特的IP地址的出現次數,然後按照每一個IP地址記錄的次數排序
按照上述流程,將生成一個潛在的合適的列表。可以根據網絡規模和通訊流量設置門限值。超過門限值的主機將被認爲是潛在的惡意主機。再說一次,這不是識別分佈式拒絕服務***的唯一方法。
8. Plixer正在做什麼幫助企業識別惡以行爲
我們發佈了一個觀察流量方式的流量分析工具。各種流量方式將被積累起來,異常的方式將啓動一個名爲CI(擔心指數)的指示器。隨着同一個主機上出現更多的算法,這個擔心指數將增加。
流量分析解屏圖像
9.沒有任何東西能夠阻止“風暴蠕蟲”是真的嗎
Patterson回答說,從我瞭解到的情況,目前沒有任何東西能夠檢測到“風暴蠕蟲”的傳播。“風暴蠕蟲”的傳播機制定期變化。它開始的時候是以PDF格式的垃圾郵件的方式傳播,接下來,它的程序員開始使用電子卡和YouTube網站的邀請進行傳播,並且使用最終能夠引誘用戶點擊一個電話鏈接。“風暴蠕蟲”還開始發佈博客評論垃圾郵件,再一次引誘讀者點擊被感染的鏈接。雖然這些手段都是標準的蠕蟲策略,但是,這種情況表明了“風暴蠕蟲”是如何在所有的層次上不斷地變化的。
“風暴蠕蟲”包含兩種類型的被感染的主機,“指揮與控制”和“工作者”主機。這些被感染主機都採用BitTorrent等P2P網絡進行溝通,從而提高了跟蹤和關閉的難度。C2(指揮與控制)主機僅僅呆在那裏並且等待着,每一個C2主機跟蹤20個工作者主機。這些被感染的主機幾乎不產生通訊流量並且使用“Fast-Flux”躲避檢測的DNS系統避免安全人員的猜測。“風暴蠕蟲”還不斷重新編寫自己的代碼防止被識別出來。沒有人知道如何保持不間斷地識別出這種病毒。“風暴蠕蟲”以一個“root kit”(根工具包)的方式運行,幾乎不使用CPU和內存,因此,你很難發現它。
更糟糕的是,如果你發現某些東西出現了錯誤並且對一個可疑的主機進行安全掃描,這種做法會把你的網絡暴露給僵屍網絡和分佈式拒絕服務***!大約有2000萬臺主機被感染,等待着***的指令,沒有人知道如何阻止這種***。識別這種通訊的惟一方法是深入檢查P2P數據包。如果那個數據包是加密的,可疑程度就提高了。