• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      校園網(wǎng)常見網(wǎng)絡(luò)行為特征分析的研究

      2010-08-15 00:42:56趙瑞剛黃家林
      關(guān)鍵詞:網(wǎng)絡(luò)連接蠕蟲網(wǎng)絡(luò)設(shè)備

      趙瑞剛 黃家林

      中南大學(xué)信息科學(xué)與工程學(xué)院 湖南 410083

      0 前言

      大型校園網(wǎng)絡(luò)是復(fù)雜的,給網(wǎng)絡(luò)管理增加了不少難度,目前,校園網(wǎng)中對(duì)網(wǎng)絡(luò)安全和性能影響較大的網(wǎng)絡(luò)行為有:ARP攻擊、DoS攻擊、蠕蟲病毒攻擊、P2P、私接網(wǎng)絡(luò)造成網(wǎng)絡(luò)拓?fù)洵h(huán)路,黑客入侵等。下面,將分別對(duì)這些網(wǎng)絡(luò)行為的特征、故障現(xiàn)象、識(shí)別定位過程等,進(jìn)行詳盡的分析。

      1 RP攻擊

      1.1 RP攻擊類型

      ARP攻擊主要有兩種類型:ARP欺騙和ARP泛洪攻擊。

      1.2 ARP攻擊的網(wǎng)絡(luò)行為特征

      影響參數(shù):網(wǎng)關(guān)設(shè)備、接入設(shè)備的CPU利用率,MAC地址沖突告警;

      取證來源:SYSLOG,協(xié)議分析;

      告警觸發(fā)條件:C1*1秒CPU利用率+C2 *1分鐘CPU利用率+C3*5分鐘CPU利用率+C4,其中C1、C2、C3、C4為經(jīng)驗(yàn)系數(shù)。

      1.3 ARP攻擊的識(shí)別過程

      1.3.1 ARP欺騙攻擊的識(shí)別過程

      網(wǎng)絡(luò)特征:網(wǎng)關(guān)及接入設(shè)備的CPU利用率異常高,接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱,局域網(wǎng)里丟包現(xiàn)象嚴(yán)重,網(wǎng)關(guān)設(shè)備會(huì)發(fā)出日志告警信息,指出沖突的MAC地址。

      識(shí)別定位過程:發(fā)現(xiàn)CPU利用率異?!鷻z查網(wǎng)關(guān)的SYSLOG日志信息,識(shí)別出發(fā)起ARP攻擊的主機(jī)的MAC地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的IP地址、用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      1.3.2 ARP泛洪攻擊的識(shí)別過程

      網(wǎng)絡(luò)特征:網(wǎng)關(guān)及接入設(shè)備的CPU利用率異常高,接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱,局域網(wǎng)里丟包現(xiàn)象嚴(yán)重,網(wǎng)關(guān)設(shè)備不會(huì)發(fā)出日志告警信息。

      識(shí)別定位過程:發(fā)現(xiàn)CPU利用率異常→在相關(guān)VLAN抓包分析ARP廣播報(bào)文→通過排序識(shí)別出發(fā)起ARP攻擊的主機(jī)的MAC、IP地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      2 DoS攻擊

      拒絕服務(wù)(Denial of Service,DoS),造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。

      2.1 DoS攻擊主要有兩種類型

      目標(biāo)資源匱乏型和網(wǎng)絡(luò)帶寬消耗型。

      2.2 DoS攻擊的行為特征

      影響參數(shù):網(wǎng)絡(luò)設(shè)備的CPU利用率,接入端口帶寬利用率及變化率,接入端口的包轉(zhuǎn)發(fā)率,網(wǎng)絡(luò)連接分布特征等。

      取證來源:NetFlow,SNMP,協(xié)議分析。

      告警觸發(fā)條件:

      (1)接入端口帶寬利用率急劇變化,然后基本恒定;

      (2)接入端口的包轉(zhuǎn)發(fā)率急劇上升,出入嚴(yán)重不對(duì)稱;

      (3)網(wǎng)絡(luò)連接分布特征:多點(diǎn)對(duì)一點(diǎn)。

      2.3 DoS攻擊識(shí)別過程

      網(wǎng)絡(luò)特征:端口的帶寬占用率單方向異常升高,而且上升斜率很陡,接入設(shè)備的CPU利用率異常升高,接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱,用戶覺得網(wǎng)絡(luò)很慢,從流量信息中可以看到多個(gè)IP地址同時(shí)向一個(gè)IP地址發(fā)送數(shù)據(jù)包。

      識(shí)別定位過程:端口的帶寬占用率單方向異常高,而且上升斜率很陡→檢查Netflow流量信息→識(shí)別出被攻擊主機(jī)的IP地址及所用協(xié)議和端口等信息→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的MAC地址、用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      3 蠕蟲病毒攻擊

      蠕蟲病毒,作為對(duì)互聯(lián)網(wǎng)危害嚴(yán)重的一種計(jì)算機(jī)程序,其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同,蠕蟲病毒以計(jì)算機(jī)為載體,以網(wǎng)絡(luò)為攻擊對(duì)象。

      3.1 蠕蟲病毒攻擊的識(shí)別

      蠕蟲病毒在攻擊時(shí)的主要?jiǎng)幼饔校汗艋蛳闹鳈C(jī)資源,向其他主機(jī)瘋狂傳播。

      3.2 蠕蟲病毒攻擊的行為特征

      影響參數(shù):網(wǎng)絡(luò)設(shè)備的CPU利用率,接入端口帶寬利用率及變化率,接入端口的包轉(zhuǎn)發(fā)率,網(wǎng)絡(luò)連接分布特征等。

      取證來源:NetFlow,SNMP,協(xié)議分析。

      告警觸發(fā)條件:

      (1)接入端口帶寬利用率急劇變化;

      (2)接入端口的包轉(zhuǎn)發(fā)率急劇上升,出入嚴(yán)重不對(duì)稱;

      (3)網(wǎng)絡(luò)連接分布特征:一點(diǎn)對(duì)多點(diǎn)。

      3.3 蠕蟲病毒攻擊識(shí)別過程

      網(wǎng)絡(luò)特征:接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱,接入設(shè)備的CPU利用率異常升高,局域網(wǎng)里其它主機(jī)丟包現(xiàn)象嚴(yán)重,從流量信息中可以看到一個(gè)IP地址同時(shí)向多個(gè)IP地址發(fā)送數(shù)據(jù)包。

      識(shí)別定位過程:接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱(端口的帶寬占用率可能單方向異常升高,上升斜率很陡)→檢查Netflow流量信息→識(shí)別出發(fā)作主機(jī)的IP地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的MAC地址、用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      4 P2P流量特征

      P2P主要依賴于網(wǎng)絡(luò)中參與者的帶寬和計(jì)算能力;另外,P2P也是英文Point to Point的縮寫,在這里,它是下載術(shù)語,意思是在你下載的同時(shí),自己的電腦還要繼續(xù)做主機(jī)上傳,這種下載方式,人越多速度越快,但缺點(diǎn)是幾乎可以無限制地消耗網(wǎng)絡(luò)的帶寬資源,對(duì)網(wǎng)絡(luò)性能影響極大。

      4.1 P2P的行為特征

      影響參數(shù):接入端口帶寬利用率及變化率,接入端口的包轉(zhuǎn)發(fā)率,網(wǎng)絡(luò)連接分布特征。

      取證來源:NetFlow,SNMP,協(xié)議分析。

      告警觸發(fā)條件:

      (1)接入端口帶寬利用率基本恒定,處于高位運(yùn)行;

      (2)接入端口的包轉(zhuǎn)發(fā)率出入基本對(duì)稱;

      (3)網(wǎng)絡(luò)連接分布特征:多點(diǎn)對(duì)多點(diǎn)。

      4.2 P2P行為的識(shí)別過程

      網(wǎng)絡(luò)特征:端口的帶寬占用率雙向異常高,持續(xù)時(shí)間長,接入端口的出現(xiàn)擁塞,丟包現(xiàn)象嚴(yán)重,網(wǎng)絡(luò)設(shè)備一般不會(huì)發(fā)出日志告警信息,單個(gè)IP雙向并發(fā)連接數(shù)高。

      識(shí)別定位過程:檢查Netflow流量信息→檢查接入設(shè)備的端口包轉(zhuǎn)發(fā)率→找到雙向并發(fā)連接數(shù)高的單個(gè)IP→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)主機(jī)的MAC、IP地址、用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      5 網(wǎng)絡(luò)拓?fù)涔收?/h2>

      當(dāng)用戶私自接入網(wǎng)絡(luò)造成環(huán)路時(shí),網(wǎng)絡(luò)中會(huì)產(chǎn)生廣播風(fēng)暴,網(wǎng)絡(luò)將出現(xiàn)癱瘓。

      5.1 網(wǎng)絡(luò)拓?fù)洵h(huán)路行為特征

      影響參數(shù):網(wǎng)絡(luò)設(shè)備的CPU利用率,接入端口帶寬利用率及變化率。

      取證來源:SYSLOG,SNMP,協(xié)議分析。

      告警觸發(fā)條件:

      (1)接入端口帶寬利用率:帶寬利用率急劇變化;

      (2)SYSLOG告警信息;

      (3)網(wǎng)絡(luò)設(shè)備CPU利用率急劇上升。

      5.2 網(wǎng)絡(luò)拓?fù)洵h(huán)路的識(shí)別過程

      網(wǎng)絡(luò)特征:網(wǎng)絡(luò)設(shè)備的CPU利用率和接入端口的包轉(zhuǎn)發(fā)率、接入端口帶寬利用率急劇升高,帶寬占用率的上升斜率很陡,接入交換機(jī)上的所有用戶幾乎同時(shí)不能上網(wǎng),接入端口的網(wǎng)絡(luò)設(shè)備會(huì)發(fā)出日志告警信息。

      識(shí)別定位過程:發(fā)現(xiàn)CPU利用率異?!鷻z查SYSLOG的日志信息,找出造成環(huán)路的端口→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的IP地址、用戶名、接入設(shè)備的相關(guān)信息(如接入端口、設(shè)備型號(hào)等)。

      6 入侵網(wǎng)絡(luò)行為特征

      6.1 入侵的行為特征

      影響參數(shù):網(wǎng)絡(luò)連接分布特征。

      取證來源:NetFlow,SYSLOG,協(xié)議分析。

      告警觸發(fā)條件:

      (1)網(wǎng)絡(luò)連接分布特征:一點(diǎn)(外)對(duì)多點(diǎn)(內(nèi))(前期掃描);

      (2)多次無效登錄企圖;

      (3)異常的登錄時(shí)間。

      6.2 入侵攻擊的識(shí)別過程

      網(wǎng)絡(luò)特征:網(wǎng)絡(luò)運(yùn)行正常,在入侵掃描試探階段主機(jī)會(huì)發(fā)出日志認(rèn)證失敗的告警信息,并指出試圖入侵的IP地址。

      識(shí)別定位過程:檢查SYSLOG的日志信息→識(shí)別發(fā)起入侵企圖的主機(jī)的IP地址。

      7 小結(jié)

      以上校園網(wǎng)常見網(wǎng)絡(luò)行為,對(duì)網(wǎng)絡(luò)的性能和安全均產(chǎn)生很大的影響,雖然它們的原理和手段不盡相同,但都具有相似的DoS行為特征,即對(duì)網(wǎng)絡(luò)設(shè)備的CPU利用率、端口的包轉(zhuǎn)發(fā)率、網(wǎng)絡(luò)帶寬利用率、網(wǎng)絡(luò)連接分布等參數(shù)產(chǎn)生重大影響,消耗網(wǎng)絡(luò)設(shè)備的資源,從而威脅網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,是對(duì)網(wǎng)絡(luò)安全和性能有較大影響的不良網(wǎng)絡(luò)行為。我們應(yīng)根據(jù)其行為特征及時(shí)定位攻擊行為的發(fā)起者,并制止其網(wǎng)絡(luò)行為對(duì)網(wǎng)絡(luò)安全和性能的影響,規(guī)范用戶的網(wǎng)絡(luò)行為,是保證校園網(wǎng)安全、穩(wěn)定運(yùn)行最有效的途徑。

      [1]Arp定義.http://www.360doc.com/content/10/0705/16/1732747_37056008.shtml.

      [2]dos攻擊.http://baike.baidu.com/view/209571.htm.

      [3]又是計(jì)算機(jī)蠕蟲病毒.網(wǎng)易博客.http://blog.163.com/showay@126/blog/static/6358924020098304268921.

      [4]李振華.P2P基礎(chǔ)知識(shí)簡介.北京大學(xué)計(jì)算機(jī)系網(wǎng)絡(luò)所 P2P組.http://baike.baidu.com/view/3280.htm.

      [5]Wendell Odom,Cisco CCNA Exam #640-607 Certification Guide.人民郵電出版社.2003.

      [6]tuart Mcclure,Joel Scambray,George Kurtz 著,鐘向群譯.黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案(第6版).清華大學(xué)出版社.2010.

      猜你喜歡
      網(wǎng)絡(luò)連接蠕蟲網(wǎng)絡(luò)設(shè)備
      蠕蟲狀MoS2/C的制備及其在鋰離子電池負(fù)極材料中的應(yīng)用
      一種基于C# 的網(wǎng)絡(luò)設(shè)備自動(dòng)化登錄工具的研制
      秋季謹(jǐn)防家禽蠕蟲病
      個(gè)性化設(shè)置 Win10 的網(wǎng)絡(luò)連接信息
      電腦報(bào)(2019年5期)2019-09-10 07:22:44
      運(yùn)動(dòng)想象的大尺度動(dòng)態(tài)功能網(wǎng)絡(luò)連接
      青海海晏縣牛羊寄生蠕蟲種調(diào)查與防治
      數(shù)據(jù)中心唯“快”不破
      基于隔離和免疫的蠕蟲傳播模型及穩(wěn)定性分析
      中小型網(wǎng)絡(luò)組建技術(shù)
      基于列車監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備的射頻功放模塊設(shè)計(jì)
      曲麻莱县| 塘沽区| 徐州市| 平阴县| 东兰县| 进贤县| 垫江县| 海城市| 盐城市| 扎鲁特旗| 登封市| 长岛县| 报价| 武威市| 辛集市| 册亨县| 荆门市| 吉林市| 洛南县| 临洮县| 郴州市| 高要市| 元氏县| 镇康县| 兴山县| 淄博市| 翁源县| 潜山县| 措美县| 白玉县| 会昌县| 新野县| 五原县| 安丘市| 赤壁市| 同江市| 霍城县| 安陆市| 明星| 鄂托克前旗| 岑溪市|