欢迎来到由三部分组成的网络行为分析系列的最后一篇博客Plixer国际 。你也可以回顾第一期:入侵检测系统与网络行为分析:你需要哪一种? 以及第二部分:NetFlow分析与网络行为分析
对于这第三个也是最后一个博客,Plixer 首席执行官Michael Patterson回答了9个问题,这些问题是关于黑客们用来破坏网络的攻击策略,以及网络行为分析在打击这些攻击中是否有用。1.什么是DoS攻击? 拒绝服务攻击(DoS攻击 )是试图使计算机资源对其目标用户不可用。
尽管DoS攻击的手段、动机和目标可能有所不同,但它一般包括一个或几个人共同采取的恶意行动,目的是暂时或无限期地阻止互联网网站或服务有效地或完全地运行。在某些类型中使用的被破坏系统的集合DDoS攻击 被称为僵尸网络。
----------------------------------------
2.你会如何描述僵尸网络? 一个
僵尸网络 是软件机器人的集合,还是
机器人 ,自动运行。它们在一组由黑客远程控制的“僵尸”电脑上运行。这也可以指网络计算机的使用
分布式计算 软件----------------------------------------
3.你能解释一下点对点DDoS吗? 是的,攻击者已经找到了一种方法,利用点对点服务器的大量漏洞来发起DDoS攻击。这些审视-对等- ddos攻击中最具攻击性的是exploit
DC + + 。点对点攻击不同于常规的基于僵尸网络的攻击。有了点对点,就没有僵尸网络,攻击者也不必与被它破坏的客户端通信。相反,攻击者充当“傀儡主人”,指示大型对等文件共享中心的客户端断开他们的对等网络,转而连接到受害者的网站。结果,几千台电脑可能会积极地试图连接到目标网站。虽然一个典型的web服务器在性能开始下降之前可以处理几百个/秒的连接,但是大多数web服务器在每秒5000或6000个连接的情况下几乎立即就会失效。----------------------------------------
4.NetFlow可以用来识别蠕虫传播吗? 嗯,不是很经常。使用签名可以很容易地识别传统的DDoS蠕虫传播。使用这些数据,应用程序将比特与每个数据包的数据字段进行比较。在大多数
NetFlow 在今天的收集环境中,数据字段不可用。
思科IOS NetFlow基础设施
灵活NetFlow 不是普遍可用的,但它允许触发器启动一个即时缓存,这将实际捕获每个包的前几百个字节。捕获然后可以被提供给数据包分析器或
入侵检测系统(IDS) 。然而,这种即时缓存的想法有一个问题:NetFlow v5或v9中通常没有足够的可用信息来检测许多蠕虫传播,因此供应商必须创造性地在如何以及何时触发即时缓存
灵活NetFlow 。这事还没定下来。
思科IOS灵活的NetFlow流量监控和收集导出数据
----------------------------------------
5.sFlow呢? 这种采样技术通常被设置为每100或1000个包中捕获一个开关的每个接口。可以配置更细的样本(例如,每隔一个包
铸造 ),然而,所创建的包卷会很快淹没大多数收集器。由于它的抽样性质,一些人觉得
sFlow 本质上不如
NetFlow 针对许多基于IP的网络行为分析算法。有人可能会说连接
sFlow 切换到一个
NetFlow探针 扩大投资。----------------------------------------
6.用今天的NetFlow技术可以做些什么来找出哪些终端系统正在缓慢地传播感染? 简而言之,NetFlow最流行的版本5提供了TCP标志,它在DDoS攻击进行时用于识别它,但是,如果没有某种类型的TCP标志,在NetFlow中捕捉bot的实际传播是非常困难的
流分析 。----------------------------------------
7.什么是TCP标志? 这是一个大问题,我建议你们读一下
翳明锣的文章 。总而言之,启动正常TCP连接的三向握手包括:
首先,客户端将向目标主机发送一个SYN包
然后目的地主机发送回一个SYN/ACK包
客户端确认目标主机的确认
建立连接
下图演示了这种握手:
例如,假设一个SYN包到达了主机的目的端口。如果端口是打开的,蠕虫发送的SYN请求将得到响应。这与在该端口上运行的服务是否容易受到攻击无关。然后,标准的TCP三路握手将完成,随后将跟随携带其他TCP标志(如PUSH和ACK)的包。使用NetFlow v5识别DDoS攻击的一种方法是:
搜索收集到的流记录,并过滤出只有SYN位集的所有流记录
提取每个流记录的源IP地址
计算每个唯一IP的出现次数
然后根据每个记录的计数数对记录进行排序
按照上述过程,生成一个合适的电位列表。可以根据网络大小和通信量设置阈值。计数器超过阈值的主机可能被认为是潜在的恶意主机。同样,这不是识别DDoS攻击的唯一方法。----------------------------------------8.Plixer做了什么来帮助公司发现不良行为? 我们发布了一个流分析 监视流模式的工具。模式会累积,异常会触发一个称为关注指数(CI)的指标。当同一主机上触发更多算法时,关注点索引值会增加。流分析截图
具有较高关注指数或计数的主机可以触发警报,并最终需要网络管理员的注意。----------------------------------------
9.没有什么能阻止风暴虫,这是真的吗? 从我所读到的,今天没有任何东西能察觉到这种病毒的扩散
风暴蠕虫 。风暴的传送机制有规律的变化。它一开始是PDF垃圾邮件,然后它的程序员开始使用电子贺卡和YouTube邀请——任何引诱用户点击虚假链接的东西。Storm还开始发布垃圾博客评论,再次试图欺骗浏览者点击受感染的链接。虽然这些都是相当标准的蠕虫战术,但它确实凸显了“风暴”是如何在各个层面不断变化的。Storm维护了两种被感染的主机“命令和控制”和“工人”。它们都用a进行通信
P2P(点对点) 网络就像
bt 增加跟踪和关闭的难度。C2(命令和控制)主机只是等待,它们跟踪20-30个worker主机。这些受感染的主机几乎不产生任何流量,并使用“快速流动”的DNS系统来让安全人员猜测。Storm还会重新编写,防止杀毒软件识别它。没有人知道如何持续识别这种病毒。Storm作为一个根工具包运行在您的主机上,所以您不容易看到它,并且几乎不使用CPU或内存。可怕的!更糟糕的是,如果您感觉有问题,并对可疑主机执行安全扫描,它可能会通知僵尸网络和DDOS您的网络!有可能有两千万主机被感染,等待攻击指令,没有人知道如何阻止它。模糊识别流量的唯一方法是深入查看P2P包的内部。 If that is encrypted, suspicions rise.
你如何相信网络行为分析可以更有效地用于打击网络攻击?
