1.1 网络恶意行为定义 write by winsunxu from uestc,i think this can construct a good auto analyse tools
网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露,致使系统不能连续可靠正常地运行,网络服务中断的行为。
1.1 网络恶意行为归类
随着信息化的普及,网络新应用的大量出现,网络恶意代码所表现出的行为也层出不穷,目前最流行的网络恶意行为是网页挂马、盗取网游帐号、端口扫描、漏洞扫描、 ARP 欺骗、 IP 劫持、 DDOS 攻击、溢出攻击、木马攻击等。
针对大量的这些网络恶意行为分析,大致可以把网络恶意行为分为四类:信息探测行为 ( 如端口和漏洞扫描 ) 、信息欺骗行为 ( 如 ARP 欺骗和 IP 劫持 ) 、信息淹没行为 ( 如 SYN Flood 和 DDOS 攻击 ) 、信息伪传递行为 ( 溢出攻击、 IMCP 木马、 HTTP 隧道木马 ) 。
从上述的四类行为可知,网络恶意行为总体上可以从两个方面来描述,一个方面是基于协议栈的行为,针对这种行为可以从数据包中给出的信息来刻画;另一方面是基于主机操作系统的行为,针对这种行为可以从进程的行为信息来刻画。
1 两个具体的网络恶意行为攻击过程
2.1 SYN flood 攻击
2.1.1 SYN flood 攻击的含义
拒绝服务攻击( Denial of Service , DoS )是目前比较有效而又非常难于防御的一种网络攻击方式,它的目的就是使服务器不能够为正常访问的用户提供服务或使主机不能访问网络。
SYN Flood 是最为有效和流行的一种 DoS 攻击形式。它利用 TCP 三次握手协议的缺陷,向目标主机发送大量的伪造源地址的 SYN 连接请求,消耗目标主机的资源,从而不能够为正常用户提供服务。
2.1.2 SYN flood 攻击的流程
要研究 SYN Flood 攻击的流程,必须先介绍 TCP 的三次握手机制。
TCP 三次握手过程如下:
1) 客户端向服务器端发送一个 SYN 置位的 TCP 报文,包含客户端使用
的端口号和初始序列号 x ;
2) 服务器端收到客户端发送来的 SYN 报文后,向客户端发送一个 SYN 和 ACK 都
置位的 TCP 报文,包含确认号为 x + 1 和服务器的初始序列号 y ;
3 )客户端收到服务器返回的 SYN + ACK 报文后,向服务器返回一个确认号为 y + 1
序号为 x + 1 的 ACK 报文,一个标准的 TCP 连接完成。
图 2-1 显示了 TCP 三次握手的过程: