返回
网络行为分析与拒绝服务攻击

网络行为分析与拒绝服务攻击

ID:23706126

大小:53.50 KB

页数:5页

时间:2018-11-10

网络行为分析与拒绝服务攻击_第1页
网络行为分析与拒绝服务攻击_第2页
网络行为分析与拒绝服务攻击_第3页
网络行为分析与拒绝服务攻击_第4页
网络行为分析与拒绝服务攻击_第5页
资源描述:

《网络行为分析与拒绝服务攻击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、网络行为分析与拒绝服务攻击~教育资源库  在这个讲座的第三部分,Plixer首席执行官MichaelPatterson回答了有关攻击者用来破坏网络的攻击策略的9个问题,并且说明了网络行为分析对于对抗这些攻击是否有用。  1.到底什么是拒绝服务攻击  拒绝服务攻击是企图让一台计算机的资源无法被其指定用户使用的攻击方法。  虽然拒绝服务攻击的手段、动机和目标可能多种多样,但是,拒绝服务攻击一般都包括一个人或者若干人的协调一致的恶意努力,以阻止一个网站或者服务有效地发挥功能或者使它们完全失去功能,临时或者不定期地失去功能。一些被攻破的计算机系统集中起来实施

2、某种拒绝服务攻击就是僵尸网络。    2.你如何解释一个僵尸网络  僵尸网络是一个软件机器人的集合。这些软件机器人自主地和自动地运行。它们在攻击者远程控制的一些僵尸计算机上运行。这也可以指使用分布式计算软件的计算机的网络。  3.你能解释一下P2P网络的DDoS攻击吗  可以。攻击者发现了利用P2P服务器中的许多安全漏洞实施DDoS(分布式拒绝服务攻击)的一种方法。P2P分布式拒绝服务攻击中最积极的方法是利用DC++中的安全漏洞。P2P攻击与基于僵尸网络的攻击是不同的。P2P攻击中没有僵尸电脑,攻击者不必与其攻破的客户机进行沟通。相反,攻击者能够像木

3、偶操纵者一样向大型P2P文件共享网络的客户机下达指令,并且连接到受害者的网站。因此,数百台计算机可能会积极地连接一个目标网站。虽然一个典型的网络服务器每秒钟能够处理几百个连接,超过一定的数量才会引起性能下降,但是,大多数网络服务器在每秒中处理5千或者6千个连接的时候就会出故障。  4.网络流量分析能够用来识别蠕虫传播吗  不经常用于识别蠕虫传播。使用病毒特征能够轻松地识别出传统的分布式拒绝服务攻击蠕虫传播。一个应用程序使用病毒特征与每一个数据包的数据字段中的字节进行比较。在目前的大多数网络流量收集环境中,都没有这个数据字段。  思科IOS网络流量分析

4、基础设施    灵活的网络流量分析并不多。但是,网络流量分析确实能够启动一个直接缓存,实际捕捉每一个数据包的前几百个字节。捕捉的数据随后发送到一个数据包分析器或者入侵检测系统。然而,这种直接缓存的方法也有一个问题:在NetFloingGon的文章。  总的来说,开始一个正常的TCP连接包含的三次握手包括:  首先,一个客户将向目标主机发送一个同步数据包  然后,目标主机发回一个同步/确认数据包  客户机确认目标主机的确认信息  一个连接就建立起来了  下面的图表说明了这个握手过程:    例如,让我们说一个同步数据包到达了一台主机的目标端口。如果这个

5、端口是打开的,这个蠕虫发送的同步请求就会得到回应。不管那个端口运行的服务是否有安全漏洞都是如此。然后,标准的TCP三次握手将完成,随后是携带PUSH和ACK等其它TCP标记的数据包。  使用NetFloiddot;搜索收集的流量记录并且过滤掉只有同步字节集的全部流量记录  提取每一个流量记录的源IP地址  计算每一个独特的IP地址的出现次数,然后按照每一个IP地址记录的次数排序  按照上述流程,将生成一个潜在的合适的列表。可以根据网络规模和通讯流量设置门限值。超过门限值的主机将被认为是潜在的恶意主机。再说一次,这不是识别分布式拒绝服务攻击的唯一方法。

6、  8.Plixer正在做什么帮助企业识别恶以行为  我们发布了一个观察流量方式的流量分析工具。各种流量方式将被积累起来,异常的方式将启动一个名为CI(担心指数)的指示器。随着同一个主机上出现更多的算法,这个担心指数将增加。  流量分析解屏图像  12下一页友情提醒:,特别!  9.没有任何东西能够阻止风暴蠕虫是真的吗  Patterson回答说,从我了解到的情况,目前没有任何东西能够检测到风暴蠕虫的传播。风暴蠕虫的传播机制定期变化。它开始的时候是以PDF格式的垃圾邮件的方式传播,接下来,它的程序员开始使用电子卡和YouTube网站的邀请进行传播,并

7、且使用最终能够引诱用户点击一个链接。风暴蠕虫还开始发布博客评论垃圾邮件,再一次引诱读者点击被感染的链接。虽然这些手段都是标准的蠕虫策略,但是,这种情况表明了风暴蠕虫是如何在所有的层次上不断地变化的。  风暴蠕虫包含两种类型的被感染的主机,指挥与控制和工主机。这些被感染主机都采用BitTorrent等P2P网络进行沟通,从而提高了跟踪和关闭的难度。C2(指挥与控制)主机仅仅呆在那里并且等待着,每一个C2主机跟踪20个工主机。这些被感染的主机几乎不产生通讯流量并且使用Fast-Flux躲避检测的DNS系统避免安全人员的猜测。风暴蠕虫还不断重新编写自己的代

8、码防止被识别出来。没有人知道如何保持不间断地识别出这种病毒。风暴蠕虫以一个rootkit(根工具包)的方式运

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。