五、常见蠕虫病毒的NetFlow分析案例

    利用上诉方法可以分析目前互联网中存在的大多数异常流量，特别是对于近年来在互联网中造成较大影响的多数蠕虫病毒，其分析效果非常明显，以下为几种蠕虫病毒的NetFlow分析实例：

    1. 红色代码 (Code Red Worm)
    2001年7月起发作，至今仍在网络流量中经常出现。

    211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1

    211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1

    211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1

    NetFlow流数据典型特征：目的端口80, 协议类型80，包数量3，字节数144。

    2. 硬盘杀手（worm.opasoft，W32.Opaserv.Worm）
    2002年9月30日起发作，曾对许多网络设备性能造成影响，2003年后逐渐减少。

    61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1

    61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1

    61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1

    NetFlow流数据典型特征：目的端口137，协议类型UDP，字节数78。

    3. 2003蠕虫王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)
    2003年1月25日起爆发，造成全球互联网几近瘫痪，至今仍是互联网中最常见的异常流量之一。

    61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

    61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1

    61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1

    NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404

    4. 冲击波 (WORM.BLASTER，W32.Blaster.Worm)
    2003年8月12日起爆发，由其引发了危害更大的冲击波杀手病毒。

    211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1

    211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1

    211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1

    典型特征：目的端口135，协议类型TCP，字节数48

    5. 冲击波杀手（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）
    2003年8月18日起发现，其产生的ICMP流量对全球互联网造成了很大影响，2004年后病毒流量明显减少。

    211.*.*.91|211.*.*.77|Others|Others|4|0|0|2048|1|1|92|1

    211.*.*.91|211.*.*.78|Others|Others|4|0|0|2048|1|1|92|1

    211.*.*.91|211.*.*.79|Others|Others|4|0|0|2048|1|1|92|1

    NetFlow流数据典型特征：目的端口2048，协议类型ICMP，字节数92

    6. 振荡波(Worm.Sasser，W32.Sasser)
    2004年5月爆发。

    61.*.*.*|32.*.70.207|Others|Others|3|0|10000|445|6|1|48|1

    61.*.*.*|24.*.217.23|Others|Others|3|0|10000|445|6|1|48|1

    61.*.*.*|221.*.65.84|Others|Others|3|0|10000|445|6|1|48|1

    NetFlow流数据典型特征：目的端口445，协议类型TCP，字节数48

    从以上案例可以看出，蠕虫爆发时，应用Neflow分析方法，可以根据病毒流量的NetFlow特征快速定位感染病毒的IP地址，并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施，从而达到抑制病毒流量传播的目的。

六、总结

    处理分析网络异常流量存在许多其它方法，如我们可以利用IDS、协议分析仪、网络设备的Log、Debug、ip accounting等功能查找异常流量来源，但这些方法的应用因各种原因受到限制，如效率低、对网络设备的性能影响、数据不易采集等因素。

    利用NetFlow分析网络异常流量也存在一些限制条件，如需要网络设备对NetFlow的支持，需要分析NetFlow数据的工具软件，需要网络管理员准确区分正常流量数据和异常流量数据等。

　　但相比其它方法，利用NetFlow分析网络异常流量因其方便、快捷、高效的特点，为越来越多的网络管理员所接受，成为互联网安全管理的重要手段，特别是在较大网络的管理中，更能体现出其独特优势。

参考文献
NetFlow Overview
NetFlow Export Datagram Format
Customizing FlowCollector
SAFE SQL Slammer Worm Attack Mitigation
病毒与安全