常見異常流量及蠕蟲案例

異常流量的數據包類型

1、TCP SYN flood（40字節）

　　11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1

　　從NetFlow的採集數據可以看出，此異常流量的典型特徵是數據包協議類型爲6（TCP），數據流大小爲40字節（通常爲TCP的SYN連接請求）。 

2、ICMP flood

　　2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1

　　從NetFlow的採集數據可以看出，此異常流量的典型特徵是數據包協議類型爲1（ICMP），單個數據流字節數達218M字節。 

3、UDP flood

　　*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1

　　*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1

　　從NetFlow的採集數據可以看出，此異常流量的典型特徵是數據包協議類型爲17（UDP），數據流有大有小。 

4、其它類型

　　其它類型的異常流量也會在網絡中經常見到，從理論上來講，任何正常的數據包形式如果被大量濫用，都會產生異常流量，如以下的DNS正常訪問請求數據包（協

  議類型53）如果大量發生，就會產生對DNS服務器的DoS攻擊。

　　211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1 

5. 異常流量的源、目的地址

     目的地址爲固定的真地址，這種情況下目的地址通常是被異常流量攻擊的對象

　　目的地址隨機生成，如下例數據：

　　目的地址有規律變化，如下例數據，目的地址在順序增加： 

     源地址爲僞造地址，這種情況源地址通常隨機生成，如下例數據，源地址都是僞造的網絡地址：

　　63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1

　　12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1

　　212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1 

6. 異常流量的源、目的端口分析

     異常流量的源端口通常會隨機生成，如下例數據： 

     多數異常流量的目的端口固定在一個或幾個端口，我們可以利用這一點，對異常流量進行過濾或限制，

常見蠕蟲病毒的NetFlow分析案例

紅色代碼 (Code Red Worm)

　　2001年7月起發作，至今仍在網絡流量中經常出現。 

　　211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1

　　211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1

　　211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1

　　NetFlow流數據典型特徵：目的端口80, 協議類型80，包數量3，字節數144。

硬盤殺手

　　（worm.opasoft，W32.Opaserv.Worm）

　　2002年9月30日起發作，曾對許多網絡設備性能造成影響，2003年後逐漸減少。

　　61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1

　　61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1

　　61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1

　　NetFlow流數據典型特徵：目的端口137，協議類型UDP，字節數78。

2003蠕蟲王

　　(Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)

　　2003年1月25日起爆發，造成全球互聯網幾近癱瘓，至今仍是互聯網中最常見的異常流量之一。

　　61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

　　61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1

　　61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1

　　NetFlow流數據典型特徵：目的端口1434，協議類型UDP，字節數404

衝擊波

　　(WORM.BLASTER，W32.Blaster.Worm)

　　2003年8月12日起爆發，由其引發了危害更大的衝擊波殺手病毒。

　　211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1

　　211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1

　　211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1

　　典型特徵：目的端口135，協議類型TCP，字節數48

衝擊波殺手

　　（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）

　　2003年8月18日起發現，其產生的ICMP流量對全球互聯網造成了很大影響，2004年後病毒流量明顯減少。

　　211.*.*.91|211.*.*.77|Others|Others|4|0|0|2048|1|1|92|1

　　211.*.*.91|211.*.*.78|Others|Others|4|0|0|2048|1|1|92|1

　　211.*.*.91|211.*.*.79|Others|Others|4|0|0|2048|1|1|92|1

　　NetFlow流數據典型特徵：目的端口2048，協議類型ICMP，字節數92

振盪波

　　(Worm.Sasser，W32.Sasser)

　　2004年5月爆發。

　　61.*.*.*|32.*.70.207|Others|Others|3|0|10000|445|6|1|48|1

　　61.*.*.*|24.*.217.23|Others|Others|3|0|10000|445|6|1|48|1

　　61.*.*.*|221.*.65.84|Others|Others|3|0|10000|445|6|1|48|1

　　NetFlow流數據典型特徵：目的端口445，協議類型TCP，字節數48 

參考：http://baike.baidu.com/view/490587.htm