(4)其它异常流量
我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。
以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
2. 异常流量流向分析
从异常流量流向来看,常见的异常流量可分为三种情况:
网外对本网内的攻击
本网内对网外的攻击
本网内对本网内的攻击
针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
3. 异常流量产生的后果
异常流量对网络的影响主要体现在两个方面:
占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。
4. 异常流量的数据包类型
常见的异常流量数据包形式有以下几种:
?TCP SYN flood(40字节)
?ICMP flood
?UDP flood
?其它类型
其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。
以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的NetFlow数据实例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|1028|137|17|1|78|1
2. 异常流量流向分析
从异常流量流向来看,常见的异常流量可分为三种情况:
网外对本网内的攻击
本网内对网外的攻击
本网内对本网内的攻击
针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的NetFlow数据实例:
124.*.148.110|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1
211.*.*.54|167.*.210.252|65211|as3|2|10|1028|137|17|1|78|1
211.*.*.187|211.*.*.69|Others|localas|71|6|1721|445|6|3|144|1
3. 异常流量产生的后果
异常流量对网络的影响主要体现在两个方面:
占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。
4. 异常流量的数据包类型
常见的异常流量数据包形式有以下几种:
?TCP SYN flood(40字节)
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1
?ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1
?UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1
?其它类型
其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1