【科来】网络异常行为分析学习笔记

匿名 (未验证) 提交于 2019-12-02 23:40:02

1、网络异常行为――流量突发

(1)大数据传输(P2P,迅雷)(2)配置问题(路由环路、交换环路)(3)病毒爆发 (4)操作系统或应用程序错误

(5)网络设备故障 (6)蠕虫传播 (7) 木马/僵尸网络 (8)DOS攻击 (9) 渗透攻击

2、蠕虫传播分析

蠕虫是通过网络主动复制自己传播的程序。

蠕虫传播途径
邮件糯虫――Loveletter
即时通漏洞――MSN/Worm.MM
操作系统或应用网络漏洞――CodeRed,Nimda

行为特点

网络层:大量主机会话,大多是发包,每个会话流量很少。

会话层:会话连接很多,大多是SYN包,大部分没有响应或被拒绝。

总体流量不一定很大,但发包远大于收包数量。

蠕虫传播

3、木马和僵尸网络分析方法

木马

=》道高一尺,魔高一丈

特征:可疑域名被频繁解析

僵尸网络

特征:利用大量域名《= 有算法计算特征,规避特征库

域名选择:动态域名、成本低、三不管顶级域名

常见的域名:*.cc *.ws *.info *.do

4、Dos攻击检测分析方法

分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式
(1)简单的单机洪水攻击方式。
(2)集中大量僵尸主机发动分布式攻击。(DDOS攻击)

常见攻击方法

(1)网络带宽资源耗尽型

Smurf

DNS放大攻击

(2)计算机资源耗尽型

DNS放大攻击

DNS放大攻击是一种典型的大流量的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪.

文章来源: https://blog.csdn.net/xlsj228/article/details/91453104
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!