常见异常流量及蠕虫案例
来源:互联网 发布:莱特币源码分析 编辑:程序博客网 时间:2024/05/24 23:12
异常流量的数据包类型
1、TCP SYN flood(40字节)
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1
从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
2、ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1
从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
3、UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1
从NetFlow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
4、其它类型
其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协
议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1
5. 异常流量的源、目的地址
目的地址为固定的真地址,这种情况下目的地址通常是被异常流量攻击的对象
目的地址随机生成,如下例数据:
目的地址有规律变化,如下例数据,目的地址在顺序增加:
源地址为伪造地址,这种情况源地址通常随机生成,如下例数据,源地址都是伪造的网络地址:
63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1
12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1
212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1
6. 异常流量的源、目的端口分析
异常流量的源端口通常会随机生成,如下例数据:
多数异常流量的目的端口固定在一个或几个端口,我们可以利用这一点,对异常流量进行过滤或限制,
常见蠕虫病毒的NetFlow分析案例
红色代码 (Code Red Worm)
2001年7月起发作,至今仍在网络流量中经常出现。 211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1
211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1
211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1
NetFlow流数据典型特征:目的端口80, 协议类型80,包数量3,字节数144。
硬盘杀手
(worm.opasoft,W32.Opaserv.Worm) 2002年9月30日起发作,曾对许多网络设备性能造成影响,2003年后逐渐减少。
61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1
61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1
61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1
NetFlow流数据典型特征:目的端口137,协议类型UDP,字节数78。
2003蠕虫王
(Worm.NetKiller2003,WORM_SQLP1434,W32.Slammer,W32.SQLExp.Worm) 2003年1月25日起爆发,造成全球互联网几近瘫痪,至今仍是互联网中最常见的异常流量之一。
61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1
61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1
61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1
NetFlow流数据典型特征:目的端口1434,协议类型UDP,字节数404
冲击波
(WORM.BLASTER,W32.Blaster.Worm) 2003年8月12日起爆发,由其引发了危害更大的冲击波杀手病毒。
211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1
211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1
211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1
典型特征:目的端口135,协议类型TCP,字节数48
冲击波杀手
(Worm.KillMsBlast,W32.Nachi.worm,W32.Welchia.Worm) 2003年8月18日起发现,其产生的ICMP流量对全球互联网造成了很大影响,2004年后病毒流量明显减少。
211.*.*.91|211.*.*.77|Others|Others|4|0|0|2048|1|1|92|1
211.*.*.91|211.*.*.78|Others|Others|4|0|0|2048|1|1|92|1
211.*.*.91|211.*.*.79|Others|Others|4|0|0|2048|1|1|92|1
NetFlow流数据典型特征:目的端口2048,协议类型ICMP,字节数92
振荡波
(Worm.Sasser,W32.Sasser) 2004年5月爆发。
61.*.*.*|32.*.70.207|Others|Others|3|0|10000|445|6|1|48|1
61.*.*.*|24.*.217.23|Others|Others|3|0|10000|445|6|1|48|1
61.*.*.*|221.*.65.84|Others|Others|3|0|10000|445|6|1|48|1
NetFlow流数据典型特征:目的端口445,协议类型TCP,字节数48
参考:http://baike.baidu.com/view/490587.htm
- 常见异常流量及蠕虫案例
- java中常见的异常及案例
- 常见异常及处理
- XSS蠕虫攻击案例学习
- 越狱及蠕虫病毒
- Bmob使用案例常见异常总结
- 网站流量异常变动的8种常见原因
- EJB3常见异常及解决
- EJB3常见异常及解决
- java常见异常及处理
- Maven常见异常及解决方法
- ORACLE常见异常及处理
- Eclipse常见异常及解决办法
- Maven常见异常及解决方法 .
- Maven常见异常及解决方法
- Java常见异常及解释
- java 常见异常及处理
- maven常见异常及解决办法
- 百度开放平台
- 通用新增(批量 实体)
- Linux下PostgreSQL安装与开机启动
- 单向链表C语言实现
- 搬家了
- 常见异常流量及蠕虫案例
- Android学习笔记(5)---模拟手机发送短信
- Linux下V4L2编程小结
- 工厂模式的形象理解
- 哈弗曼编码C语言实现
- 认真学习下字符串和字符数组的区别!
- ps基础知识学习总结
- MSDN 上的Hook例子2
- 第7章 布局(二)