三、互聯網異常流量的NetFlow分析

要對互聯網異常流量進行分析，首先要深入了解其產生原理及特征，以下將重點從NetFlow數據角度，對異常流量的種類、流向、產生后果、數據包類型、地址、端口等多個方面進行分析。

1. 異常流量的種類

目前，對互聯網造成重大影響的異常流量主要有以下幾種：

（1）拒絕服務攻擊（DoS）

DoS攻擊使用非正常的數據流量攻擊網絡設備或其接入的服務器，致使網絡設備或服務器的性能下降，或占用網絡帶寬，影響其它相關用戶流量的正常通信，最終可能導致網絡服務的不可用。

例如DoS可以利用TCP協議的缺陷，通過SYN打開半開的TCP連接，占用系統資源，使合法用戶被排斥而不能建立正常的TCP連接。

以下為一個典型的DoS SYN攻擊的NetFlow數據實例，該案例中多個偽造的源IP同時向一個目的IP發起TCP SYN攻擊。

117.*.68.45|211.*.*.49|Others|64851|3|2|10000|

10000|6|1|40|1

104.*.93.81|211.*.*.49|Others|64851|3|2|5557|

5928|6|1|40|1

58.*.255.108|211.*.*.49|Others|64851|3|2|3330|

10000|6|1|40|1

由于Internet協議本身的缺陷，IP包中的源地址是可以偽造的，現在的DoS工具很多可以偽裝源地址，這也是不易追蹤到攻擊源主機的主要原因。

（2）分布式拒絕服務攻擊（DDoS）

DDoS把DoS又發展了一步，將這種攻擊行為自動化，分布式拒絕服務攻擊可以協調多臺計算機上的進程發起攻擊，在這種情況下，就會有一股拒絕服務洪流沖擊網絡，可能使被攻擊目標因過載而崩潰。

以下為一個典型的DDoS攻擊的NetFlow數據實例，該案例中多個IP同時向一個IP發起UDP攻擊。

61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|

17|6571|9856500|1

211.*.*.163|69.*.*.100|64751|as9|3|9|18423|

22731|17|906|1359000|1

61.*.*.145|69.*.*.100|64731|Others|2|0|52452|

22157|17|3|4500|1

（3）網絡蠕蟲病毒流量

網絡蠕蟲病毒的傳播也會對網絡產生影響。近年來，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發，不但對用戶主機造成影響，而且對網絡的正常運行也構成了的危害，因為這些病毒具有掃描網絡，主動傳播病毒的能力，會大量占用網絡帶寬或網絡設備系統資源。

以下為最近出現的振蕩波病毒NetFlow數據實例，該案例中一個IP同時向隨機生成的多個IP發起445端口的TCP連接請求，其效果相當于對網絡發起DoS攻擊。

61.*.*.*|168.*.*.200|Others|Others|3|0|1186|

445|6|1|48|1

61.*.*.*|32.*.*.207|Others|Others|3|0|10000|

445|6|1|48|1

61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

445|6|1|48|1

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯系我們修改或刪除，多謝。