【科来】网络异常行为分析学习笔记

1、网络异常行为——流量突发

（1）大数据传输（P2P，迅雷）（2）配置问题（路由环路、交换环路）（3）病毒爆发 （4）操作系统或应用程序错误

（5）网络设备故障 （6）蠕虫传播 （7） 木马/僵尸网络 （8）DOS攻击 （9） 渗透攻击

2、蠕虫传播分析

蠕虫是通过网络主动复制自己传播的程序。

蠕虫传播途径
邮件糯虫——Loveletter
即时通漏洞——MSN/Worm.MM
操作系统或应用网络漏洞——CodeRed,Nimda

行为特点：

网络层：大量主机会话，大多是发包，每个会话流量很少。

会话层：会话连接很多，大多是SYN包，大部分没有响应或被拒绝。

总体流量不一定很大，但发包远大于收包数量。

蠕虫传播：

 

3、木马和僵尸网络分析方法

木马

         =》道高一尺，魔高一丈

特征：可疑域名被频繁解析

僵尸网络

特征：利用大量域名《= 有算法计算特征,规避特征库

域名选择：动态域名、成本低、三不管顶级域名

常见的域名：*.cc *.ws *.info *.do

4、Dos攻击检测分析方法

分布式拒绝服务攻击是当前黑客采取的一个重要手段,一般通过向互联网的一些重要系统(如:金融网站、政府网站发出大量数据包,使目标主机无法向外提供正常服务。常见方式
（1）简单的单机洪水攻击方式。
（2）集中大量僵尸主机发动分布式攻击。(DDOS攻击)

常见攻击方法：

（1）网络带宽资源耗尽型

Smurf
UDP flood
DNS放大攻击

（2）计算机资源耗尽型
ping of death
syn flood

DNS放大攻击

DNS放大攻击是一种典型的大流量的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪.