図1に示すように、ネットワークの異常行動-トラフィックバースト
(1)大規模なデータ転送(2)割り当て(ルーティングループ、リングを切り替え)(3)アウトブレイク(4)オペレーティング・システムまたはアプリケーションエラー(P2P、サンダーです)
(5)ネットワーク機器の故障は、(6)伝播するワーム(7)トロイの木馬/ボットネット(8)DOS攻撃(9)侵入攻撃
2、ワーム伝搬解析
ワームは、ネットワークを介して自らの広がりをコピーするためのプログラムです。
ワーム送信
--Loveletterワックス状昆虫メッセージ
メッセンジャーの脆弱性--MSN / Worm.MM
オペレーティングシステムまたはネットワークの脆弱性が--CodeRed、ニムダ
行動特性:
ネットワーク層:ホストセッションの数が多い、ほとんどが契約、各セッション少しトラフィック。
セッション層:セッション接続多く、ほとんどがSYNパケットは、大半が応答したり拒否しません。
全体の流れは必ずしも大きくないが、契約は、受信したパケットの数よりもはるかに大きいです。
ワームの伝播:
3、トロイの木馬、ボットネット分析
トロイの木馬
=「道ということを念頭に置くと
特徴:不審なドメイン名が頻繁に解決されます
ボットネット
特長:ドメイン名「=そこアルゴリズムの機能を多数の使用は、特徴ライブラリを避けます
名前の選択:ダイナミックドメイン名、低コストは、トップレベルドメインを提供しました
共通名:. * Ccと* .WS *の.info * .doという
4、DoS攻撃検出分析
サービス拒否攻撃は、通常は、インターネットへのいくつかの重要なシステムを通じて、ハッカーが電流を取るための重要な手段である分散(のような:金融ウェブサイト、政府のウェブサイトは、大量のパケットを発行し、ターゲットホストは、通常の方法の外に通常のサービスを提供することができない
)(1シンプルなスタンドアローンフラッド攻撃。
分散型攻撃を開始するボットの多数の(2)フォーカス。(DDOS攻撃)
攻撃の一般的な方法:
(1)ネットワーク帯域幅資源の枯渇モード
スマーフ
UDPフラッド
DNSの増幅攻撃
(2)计算机资源耗尽型
ping of death
syn flood
DNS放大攻击
DNS放大攻击是一种典型的大流量的拒绝服务攻击,攻击者利用僵尸网络中大量的被控主机,伪装成被攻击主机,在特定时间点连续向多个允许递归查询的DNS服务器发送大量DNS服务请求,迫使其提供应答服务,经DNS服务器放大后的大量应答数据发送到被攻击主机,形成攻击流量,导致其无法提供正常服务甚至瘫痪.
