实用网络流量分析技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实用网络流量分析技术
——高级网络技术人员的必备技术
高彦刚
实用网络流量分析技术第5章危害网络的异常流量
本章主要介绍针对一些对网络运行危害较大的异常网络流量的分析。
5.1. 危害网络的异常流量
危害网络的异常流量是指能对网络的正常运行造成危害的异常流量,这些异常流量对网络运行的危害主要分为以下几种。
1. 大量的流量导致网络拥塞,从而出现丢包,导致网络服务质量下降。
2. 大量的数据包导致网络设备处理性能下降,从而导致网络服务质量下降。
3. 不正常的数据报文影响网络的正常访问,破坏网络的正常拓扑结构。
5.2. 异常流量的产生
异常的网络流量产生的原因很多,一般来讲目前用户网络中危害最大的异常网络流量产生的原因主要有:
1. 病毒引起的异常网络流量
目前网络中计算机病毒的传播主要是依靠网络系统,Internet的飞速发展同样给病毒的传播提供了非常好的传播途径,而病毒在传播过程中往往会产生大量的网络流量,严重时会大大影响网络的正常运行。CodeRed、Nimda、冲击波等蠕虫病毒造成网络的瘫痪就是由于这些病毒在传播时产生大量的网络流量而影响网络设备的正常运行造成的。
一些病毒如ARP病毒在感染主机后会伪造发送大量的ARP数据报文,破坏正常的网
81
络传输通讯,危害网络的可用性。
2. 网络攻击引起的异常网络流量
拒绝服务攻击(DOS)攻击会产生大量的异常网络流量,有时会造成网络系统瘫痪,目前网络中分布式DOS攻击也越来越多了,这给网络造成不小的影响。目前随着用户计算机系统和网络系统的能力越来越强,在攻击时产生的网络流量也越来越大,大量的网络攻击不但会影响应用,也会造成网络系统的瘫痪。
3. 不当的网络配置引起的异常网络流量
不正当的网络配置,如物理环路或路由环路的形成,在网络中引起环路会在瞬间产生大量的流量,直至网络的崩溃。
4. 不正当的应用
有些网络应用采用不正当的数据传输方式,在数据传输时能够挤占大部分有效的网络带宽,从而影响其它重要应用的正常运行。
异常的网络流量存在于每个用户的网络中,这些流量会同用户正常的网络应用争抢有限的网络带宽,甚至会造成用户的网络崩溃。
5.3. 危害网络的异常流量分析
危害网络的异常网络流量是影响网络性能和可用性的重要因素,目前越来越多的网络异常是网络中异常流量引起的或是同网络中异常流量相关的,对网络中异常流量的及时发现和分析对避免网络性能下降或宕机以及及时发现并解决网络故障具有重要的意义。
我们对异常网络流量的分析手段主要分以下两种。
1. 通过流量的异常分析网络行为的异常和异常的流量
这种手段是以异常流量的发现为基础的,异常流量指同网络正常运行时的流量特点不符,包括前几章我们讲到的利用率的异常、每秒数据包数的异常、包大小分布的异常、应用协议分布的异常等等,如何能监控更多的流量异常参数也是标志网络流量分析工具能力的重要参数。如何通过各种流量参数的异常分析网络行为的异常我们在前几章也有详细的阐述。
2. 通过网络行为的流量特征来分析异常网络行为和异常流量
实用网络流量分析技术
这种手段是以每中对网络能产生危害的网络行为的流量特征来判断分析这些异常网络行为的方式,我们需要对每种网络行为的详细特点进行分析,找出它们的流量特性,从而通过分析网络中的流量特性来迅速分析监控异常的网络行为。
5.4. 蠕虫病毒分析
5.4.1. 蠕虫病毒的网络行为特点
蠕虫病毒一般是指通过网络在计算机间复制自身进行传播的病毒,和传统的病毒不同,其不是以感染文件来达到传播自己的目的,蠕虫病毒不“寄生”于其它文件上,而是通过网络直接将自身复制到对方计算机上并运行来达到复制自己的目的,有时候甚至自身只在被感染的计算机内存中驻留,并没有实体文件。
不同的蠕虫病毒的病毒特征不同,但其在网络中进行传播时的行为特性是相似的,一个蠕虫病毒在传播到一台计算机上后,会主动去搜索其他可以被感染的目标主机,这个过程如下图。
83
图5-1蠕虫病毒传播过程
如图5-1所示,感染蠕虫病毒的主机通常会在整个网络里进行扫描,扫描的目的地址可能是随机生成或按网段依次扫描所有主机,通常是发送TCP连接请求数据包,当收到目标主机发回的TCP连接应答后试图建立连接并试图将病毒代码向目标主机复制和运行。当感染成功后,受感染的主机将开始另外一个同样的扫描和传播过程。
实用网络流量分析技术
5.4.2. 蠕虫病毒对网络的危害
第一个对网络造成巨大危害的蠕虫病毒是红色代码病毒(CodeRed),该病毒通过IIS 漏洞进行传播,只驻留在被感染计算机的内存中,其对网络的危害行为主要是其快速扫描网络传播自身,在这个过程中发送大量的数据包,造成网络性能下降,同时大量的地址扫描使路由器的buffer耗尽,造成路由器性能下降,从而造成网络系统性能下降甚至瘫痪。
在红色代码病毒之后,又出现了几个在传播过程中产生大量数据包对网络造成很大危害的蠕虫病毒。
现在的一些蠕虫病毒本身对网络有很强的危害,如有些蠕虫病毒会大量发送DOS攻击数据包,造成网络拥塞,有些蠕虫病毒能破坏网络的传输,还有一些设定后门,成为黑客攻击的工具。
5.4.3. 通过流量分析定位蠕虫病毒
通过流量分析的手段定位蠕虫病毒是目前已知最好的蠕虫病毒定位方式,由于蠕虫病毒在网络中的流量特点非常明显,通过流量分析手段很容易对其定位和分析。
通过流量分析定位蠕虫病毒的方法有以下几种。
1. 通过分析主机发送/接收数据包的数量来定位
从蠕虫病毒在传播时的行为特点我们可以看到,感染蠕虫病毒的主机扫描网络中的主机,目的地址很多,甚至是随机生成,这样的话发送大量数据包,有些蠕虫病毒能够每秒钟发送几千个数据包。但收到的回应不多,因为很多扫描的目标地址并不存在,而且不是每个主机都有病毒请求的连接服务,因此感染蠕虫病毒的主机发送大量的数据包,但接收数据包很少,这和正常传送数据的主机流量特点有很大差别,正常传送数据的主机发送和接收的数据包数量基本是平衡的。
利用Sniffer Host Table分析能够很直观的发现这些异常主机,如下图所示。
85