第三章 10-异常流量监测.pdfVIP

网 络 流 量 监 测 异常流量监测 宽宽 带带 网网 络络 监监 控控 教教 研研 中中 心 心 目录 1.  异常流量概念 2.  链路流量及其异常 3.  直接影响网络正常运行的流 4.  针对路由协议和设备转发表的攻击 5.  与IP报文有关的异常 2 6.  与TCP报文和通信过程相关的异常 7.  与ICMP报文相关的攻击和异常 8.  其它异常 1.异常流量概念 l  在正常情况下 ，经过多个主机汇聚产生的网络出口流量具有明显 的规律性 l  流量在瞬间出现违反这种规律的情况 ，即出现了异常流量 l  异常流量往往表示网络本身出现了异常 ，例如网络中某个设备损 坏 ；或者网络受到了攻击 l  异常流量分析 ，就是要发现异常流量 ，并分析其来源、原因 3 l  本节讨论通过网络流量监测手段可能看到的网络异常流量及其含 义。 2.链路总流量及其异常 l  链路总流量 ：网络中一条物理链路上的单位时间流过 比特数或者字节数。 l  单向流量和双向流量 l  上行流量和下行流量 ： –  上行流量是指流出到上一级网络的流量 ，下行流量则是流入 4 流量。 l  总流量异常 ： –  瞬间的流量突变 –  与日常观测的流量规律不符合 链路总流量的时间规律 l  每日流量规律 ： –  每日流量在白天或者午夜前的某个时段出现高峰 ， –  在午夜后到清晨的一个时段达到谷底。 l  各日流量遵循大致相同的时间变化规律 l  工作日和节假日有显著的不同。 l  流量基线 ： 5 –  日流量时间曲线基线。 –  周流量时间曲线基线。 l  异常 ：流量与基线有显著不同 ，可判断网络中发生了某种问题。 –  某条链路的中断、某个节点的故障 –  网络攻击的爆发 会话数、报文数 l  链路总流量也可能用单位时间报文数或单位时间连接 数（也可能会被叫做会话数、流数 ）来表示。 l  会话数和单位时间字节数之间并无恒定的比例关系 l  单位时间报文数或者连接数发生突变 ，往往也是意味 着网络中出现了某种问题。例如 ： 6 –  发出大量连接请求 –  响应大量连接请求 –  在短时间内迅速建立大量连接 l  超短连接 报文长度分布 l  某一长度范围的报文有多少个。 l  一般情况下报文长度分布具有明显的规律。 –  长报文（1024字节以上 ）和短报文（ ＝64字节 ）是大部分 。 –  其它长度的报文很少。 l  某种特定长度的报文数量激增往往是网络异常的表现。 7 –  大量建立连接往往导致线路上瞬时出现大量短报文。