思科網絡流量分析器：網絡行爲分析與拒絕服務***（DDOS）

思科網絡流量分析器：網絡行爲分析與拒絕服務***（ DDOS ）

    Plixer首席執行官Michael Patterson回答了有關***者用來破壞網絡的***策略的9個問題，而且說明了網絡行爲分析對於對抗這些***是否有用。

1. 到底什麼是拒絕服務***

拒絕服務***是企圖讓一臺計算機的資源沒法被其指定用戶使用的***方法。

雖然拒絕服務***的手段、動機和目標可能多種多樣，可是，拒絕服務***通常都包括一我的或者若干人的協調一致的惡意努力，以阻止一個網站或者服務有效地發揮功能或者使它們徹底失去功能，臨時或者不按期地失去功能。一些被攻破的計算機系統集中起來實施某種拒絕服務***就是僵屍網絡。

  2. 你如何解釋一個僵屍網絡

僵屍網絡是一個軟件機器人的集合。這些軟件機器人自主地和自動地運行。它們在***者遠程控制的一些「殭屍」計算機上運行。這也能夠指使用分佈式計算軟件的計算機的網絡。

3. 你能解釋一下 P2P 網絡的 DDoS ***嗎

能夠。***者發現了利用P2P服務器中的許多 安全漏洞實施DDoS(分佈式拒絕服務***)的一種方法。P2P分佈式拒絕服務***中最積極的方法是利用DC++中的 安全漏洞。P2P***與基於僵屍網絡的***是不一樣的。P2P***中沒有殭屍電腦，***者沒必要與其攻破的客戶機進行溝通。相反，***者可以像「木偶操縱者」同樣向大型P2P文件共享網絡的客戶機下達指令，而且鏈接到受害者的網站。所以，數百臺計算機可能會積極地鏈接一個目標網站。雖然一個典型的 網絡服務器每秒鐘可以處理幾百個鏈接，超過必定的數量纔會引發性能降低，可是，大多數 網絡服務器在每秒中處理5千或者6千個鏈接的時候就會出故障。

4. 網絡流量分析可以用來識別蠕蟲傳播嗎

不常常用於識別蠕蟲傳播。使用病毒特徵可以輕鬆地識別出傳統的分佈式拒絕服務***蠕蟲傳播。一個應用程序使用病毒特徵與每個數據包的數據字段中的字節進行比較。在目前的大多數網絡流量收集環境中，都沒有這個數據字段。

思科IOS網絡流量分析基礎設施

靈活的網絡流量分析並很少。可是，網絡流量分析確實可以啓動一個直接緩存，實際捕捉每個數據包的前幾百個字節。捕捉的數據隨後發送到一個數據包分析器或者***檢測系統。然而，這種直接緩存的方法也有一個問題：在NetFlow第五版和或者第九版中一般沒有足夠的信息來檢測許多蠕蟲傳播。所以，廠商必需要創造性地處理如何以及什麼時候使用靈活的網絡流量分析工具啓動一個直接的緩存。這個問題仍待解決。

下圖是思科IOS Flexible NetFlow的流量監視和收集的輸出數據

5.sFlow 的狀況如何

這個採樣 技術一般設置用來捕捉億臺 交換機的每一個接口的百分之一或者千分之一的數據包。能夠設置更詳細的採樣，不過，這樣一來會很快吞沒多數採集器。因爲是採樣的性質，一些人認爲，對於許多基於IP的網絡行爲分析算法來講，sFlow固定地就沒有網絡流量分析那樣有用。有人會建議把sFlow 交換機與一個網絡流量探測功能結合起來以便擴大這個投資。

6. 如何使用當前的網絡流量分析 技術 發現哪個端點系統正在緩慢地傳播感染

簡言之，最流行的NetFlow第五版提供了TCP標記，對於識別正在進行之中的分佈式拒絕服務***是很是有用的。可是，沒有某種類型的流量分析，使用NetFlow軟件緩存殭屍電腦的實際傳播數據是很困難的。

7. 什麼是 ICP 標記

這是一個很大的問題。我建議大家閱讀Yiming Gon的文章。

總的來講，開始一個正常的TCP鏈接包含的三次握手包括：

·首先，一個客戶將向目標主機發送一個同步數據包

·而後，目標主機發回一個同步/確認數據包

·客戶機確認目標主機的確認信息

·一個鏈接就創建起來了

下面的圖表說明了這個握手過程：

例如，讓咱們說一個同步數據包到達了一臺主機的目標端口。若是這個端口是打開的，這個蠕蟲發送的同步請求就會獲得迴應。無論那個端口運行的服務是否有 安全漏洞都是如此。而後，標準的TCP三次握手將完成，隨後是攜帶PUSH和ACK等其它TCP標記的數據包。

使用NetFlow第五版識別分佈式拒絕服務***的一個方法是：

·搜索收集的流量記錄而且過濾掉只有同步字節集的所有流量記錄

·提取每個流量記錄的源IP地址

·計算每個獨特的IP地址的出現次數，而後按照每個IP地址記錄的次數排序

按照上述流程，將生成一個潛在的合適的列表。能夠根據網絡規模和通信流量設置門限值。超過門限值的主機將被認爲是潛在的惡意主機。再說一次，這不是識別分佈式拒絕服務***的惟一方法。

8. Plixer 正在作什麼幫助企業識別惡以行爲

咱們發佈了一個觀察流量方式的流量分析工具。各類流量方式將被積累起來，異常的方式將啓動一個名爲CI(擔憂指數)的指示器。隨着同一個主機上出現更多的算法，這個擔憂指數將增長。

流量分析解屏圖像

    9. 沒有任何東西可以阻止 「 風暴蠕蟲 」 是真的嗎

Patterson回答說，從我瞭解到的狀況，目前沒有任何東西可以檢測到「風暴蠕蟲」的傳播。「風暴蠕蟲」的傳播機制按期變化。它開始的時候是以PDF格式的垃圾郵件的方式傳播，接下來，它的程序員開始使用電子卡和YouTube網站的邀請進行傳播，而且使用最終可以引誘用戶點擊一個電話連接。「風暴蠕蟲」還開始發佈博客評論垃圾郵件，再一次引誘讀者點擊被感染的連接。雖然這些手段都是標準的蠕蟲策略，可是，這種狀況代表了「風暴蠕蟲」是如何在全部的層次上不斷地變化的。

「風暴蠕蟲」包含兩種類型的被感染的主機，「指揮與控制」和「工做者」主機。這些被感染主機都採用BitTorrent等P2P網絡進行溝通，從而提升了跟蹤和關閉的難度。C2(指揮與控制)主機僅僅呆在那裏而且等待着，每個C2主機跟蹤20個工做者主機。這些被感染的主機幾乎不產生通信流量而且使用「Fast-Flux」躲避檢測的DNS系統避免安全人員的猜想。「風暴蠕蟲」還不斷從新編寫本身的代碼防止被識別出來。沒有人知道如何保持不間斷地識別出這種病毒。「風暴蠕蟲」以一個「root kit」(根工具包)的方式運行，幾乎不使用CPU和內存，所以，你很難發現它。

更糟糕的是，若是你發現某些東西出現了錯誤而且對一個可疑的主機進行安全掃描，這種作法會把你的網絡暴露給僵屍網絡和分佈式拒絕服務***!大約有2000萬臺主機被感染，等待着***的指令，沒有人知道如何阻止這種***。識別這種通信的唯一方法是深刻檢查P2P數據包。若是那個數據包是加密的，可疑程度就提升了。

本文出自 「飛奔男孩」 博客，請務必保留此出 [url]http://xiaotao.blog.51cto.com/432500/145440[/url]
本文出自 51CTO.COM技術博客

本文出自 51CTO.COM技術博客