1、网络异常行为――流量突发
(1)大数据传输(P2P,迅雷)(2)配置问题(路由环路、交换环路)(3)病毒爆发 (4)操作系统或应用程序错误
(5)网络设备故障 (6)蠕虫传播 (7) 木马/僵尸网络 (8)DOS攻击 (9) 渗透攻击
2、蠕虫传播分析
蠕虫是通过网络主动复制自己传播的程序。
蠕虫传播途径
邮件糯虫――Loveletter
即时通漏洞――MSN/Worm.MM
操作系统或应用网络漏洞――CodeRed,Nimda
行为特点:
网络层:大量主机会话,大多是发包,每个会话流量很少。
会话层:会话连接很多,大多是SYN包,大部分没有响应或被拒绝。
总体流量不一定很大,但发包远大于收包数量。
蠕虫传播:
3、木马和僵尸网络分析方法
木马
=》道高一尺,魔高一丈
特征:可疑域名被频繁解析
僵尸网络
特征:利用大量域名《= 有算法计算特征,规避特征库
域名选择:动态域名、成本低、三不管顶级域名
常见的域名:*.cc *.ws *.info *.do
4、Dos攻击检测分析方法
分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式
(1)简单的单机洪水攻击方式。
(2)集中大量僵尸主机发动分布式攻击。(DDOS攻击)
常见攻击方法:
(1)网络带宽资源耗尽型
Smurf
DNS放大攻击
(2)计算机资源耗尽型
DNS放大攻击
DNS放大攻击是一种典型的大流量的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪.
文章来源: https://blog.csdn.net/xlsj228/article/details/91453104