基于netflow的网络攻击分析与检测
前言
前些年Code Red、SQL Slammer、冲击波、振荡波等蠕虫病毒相继爆发,日益频繁的DOS攻击与DDOS也让用户大为光火,这些攻击不但对用户主机造成影响,而且对网络的正常运行也构成了严重的危害,会大量占用网络带宽或网络设备系统资源。这些网络行为上都有某些共同特征,我们可以利用NetFlow的信息筛选出这些数据包,从而快速发现问题。
典型网络攻击特征分析
1.CodeRed病毒分析
例1:CodeRed的Flow特征是destination port=80,、packets=3、size=144bytes。虽然在Internet上,符合上述特性的正常行为是存在的(如使用ICQ),但是一般正常使用的主机不会在连续几段时间内发出大量的这些报文。
因此监测CodeRed 可采用的方法是:取几个不同时间段,例如每段时间5分钟,如果每个时间段内符合特征的Flow大于上限值,则可以判断为Code Red。
2.Nimda病毒分析
例2:感染了Nimda病毒的主机会向外部地址(往往是TCP 80端口)发起大量连接,Nimda的Flow特征是每个Flow代表一次连接destination port=80的行为,如果普通的客户机在一段时间内(例如5分钟)Flow数量过大,那么很有可能遭受病毒感染或者有其他针对HTTP的攻击行为。
因此监测Nimda可采用的策略是:取几个不同时间段,每段时间5分钟,如果每个时间段内符合特征的Flow超过上限值,则可以判断为Nimda病毒或其他攻击行为。另