思科分析器：网络行为分析与拒绝服务攻击

Plixer首席执行官Michael Patterson回答了有关攻击者用来破坏网络的攻击策略的9个问题，并且说明了网络行为分析对于对抗这些攻击是否有用。

　　1.到底什么是拒绝服务攻击

　　拒绝服务攻击是企图让一台计算机的资源无法被其指定用户使用的攻击方法。

　　虽然拒绝服务攻击的手段、动机和目标可能多种多样，但是，拒绝服务攻击一般都包括一个人或者若干人的协调一致的恶意努力，以阻止一个网站或者服务有效地发挥功能或者使它们完全失去功能，临时或者不定期地失去功能。一些被攻破的计算机系统集中起来实施某种拒绝服务攻击就是僵尸网络。

 
　　图1

　　2.你如何解释一个僵尸网络

　　僵尸网络是一个软件机器人的集合。这些软件机器人自主地和自动地运行。它们在攻击者远程控制的一些“僵尸”计算机上运行。这也可以指使用分布式计算软件的计算机的网络。

　　3.你能解释一下P2P网络的DDoS攻击吗

　　可以。攻击者发现了利用P2P服务器中的许多安全漏洞实施DDoS(分布式拒绝服务攻击)的一种方法。P2P分布式拒绝服务攻击中最积极的方法是利用DC++中的安全漏洞。P2P攻击与基于僵尸网络的攻击是不同的。P2P攻击中没有僵尸电脑，攻击者不必与其攻破的客户机进行沟通。相反，攻击者能够像“木偶操纵者”一样向大型P2P文件共享网络的客户机下达指令，并且连接到受害者的网站。因此，数百台计算机可能会积极地连接一个目标网站。虽然一个典型的网络服务器每秒钟能够处理几百个连接，超过一定的数量才会引起性能下降，但是，大多数网络服务器在每秒中处理5千或者6千个连接的时候就会出故障。

　　4.网络流量分析能够用来识别蠕虫传播吗

　　不经常用于识别蠕虫传播。使用病毒特征能够轻松地识别出传统的分布式拒绝服务攻击蠕虫传播。一个应用程序使用病毒特征与每一个数据包的数据字段中的字节进行比较。在目前的大多数网络流量收集环境中，都没有这个数据字段。 

    

　　灵活的网络流量分析并不多。但是，网络流量分析确实能够启动一个直接缓存，实际捕捉每一个数据包的前几百个字节。捕捉的数据随后发送到一个数据包分析器或者入侵检测系统。然而，这种直接缓存的方法也有一个问题：在NetFlow第五版和或者第九版中通常没有足够的信息来检测许多蠕虫传播。因此，厂商必须要创造性地处理如何以及何时使用灵活的网络流量分析工具启动一个直接的缓存。这个问题仍待解决。下图是思科IOS Flexible NetFlow的流量监视和收集的输出数据

 
　　     图3

　　5.sFlow的情况如何

　　这个采样技术通常设置用来捕捉亿台交换机的每个接口的百分之一或者千分之一的数据包。可以设置更详细的采样，不过，这样一来会很快吞没多数采集器。由于是采样的性质，一些人认为，对于许多基于IP的网络行为分析算法来说，sFlow固定地就没有网络流量分析那样有用。

　　有人会建议把sFlow交换机与一个网络流量探测功能结合起来以便扩大这个投资。

　　6.如何使用当前的网络流量分析技术发现哪一个端点系统正在缓慢地传播感染

　　简言之，最流行的NetFlow第五版提供了TCP标记，对于识别正在进行之中的分布式拒绝服务攻击是非常有用的。但是，没有某种类型的流量分析，使用NetFlow软件缓存僵尸电脑的实际传播数据是很困难的。

　　7.什么是ICP标记

　　这是一个很大的问题。我建议你们阅读Yiming Gon的文章。

　　总的来说，开始一个正常的TCP连接包含的三次握手包括：

　　首先，一个客户将向目标主机发送一个同步数据包

　　然后，目标主机发回一个同步/确认数据包

　　客户机确认目标主机的确认信息一个连接就建立起来了

　　下面的图表说明了这个握手过程：   

 
                             图4

　　例如，让我们说一个同步数据包到达了一台主机的目标端口。如果这个端口是打开的，这个蠕虫发送的同步请求就会得到回应。不管那个端口运行的服务是否有安全漏洞都是如此。然后，标准的TCP三次握手将完成，随后是携带PUSH和ACK等其它TCP标记的数据包。

　　使用NetFlow第五版识别分布式拒绝服务攻击的一个方法是：

　　搜索收集的流量记录并且过滤掉只有同步字节集的全部流量记录

　　提取每一个流量记录的源IP地址

　　计算每一个独特的IP地址的出现次数，然后按照每一个IP地址记录的次数排序

　　按照上述流程，将生成一个潜在的合适的列表。可以根据网络规模和通讯流量设置门限值。超过门限值的主机将被认为是潜在的恶意主机。再说一次，这不是识别分布式拒绝服务攻击的唯一方法。

　　8. Plixer正在做什么帮助企业识别恶以行为

　　我们发布了一个观察流量方式的流量分析工具。各种流量方式将被积累起来，异常的方式将启动一个名为CI(担心指数)的指示器。随着同一个主机上出现更多的算法，这个担心指数将增加。

 

            图5 流量分析解屏图像
   

　　9.没有任何东西能够阻止“风暴蠕虫”是真的吗

　　Patterson回答说，从我了解到的情况，目前没有任何东西能够检测到“风暴蠕虫”的传播。“风暴蠕虫”的传播机制定期变化。它开始的时候是以PDF格式的垃圾邮件的方式传播，接下来，它的程序员开始使用电子卡和YouTube网站的邀请进行传播，并且使用最终能够引诱用户点击一个电话链接。“风暴蠕虫”还开始发布博客评论垃圾邮件，再一次引诱读者点击被感染的链接。虽然这些手段都是标准的蠕虫策略，但是，这种情况表明了“风暴蠕虫”是如何在所有的层次上不断地变化的。

　　“风暴蠕虫”包含两种类型的被感染的主机，“指挥与控制”和“工作者”主机。这些被感染主机都采用BitTorrent等P2P网络进行沟通，从而提高了跟踪和关闭的难度。C2(指挥与控制)主机仅仅呆在那里并且等待着，每一个C2主机跟踪20个工作者主机。这些被感染的主机几乎不产生通讯流量并且使用“Fast-Flux”躲避检测的DNS系统避免安全人员的猜测。“风暴蠕虫”还不断重新编写自己的代码防止被识别出来。没有人知道如何保持不间断地识别出这种病毒。“风暴蠕虫”以一个“root kit”(根工具包)的方式运行，几乎不使用CPU和内存，因此，你很难发现它。

　　更糟糕的是，如果你发现某些东西出现了错误并且对一个可疑的主机进行安全扫描，这种做法会把你的网络暴露给僵尸网络和分布式拒绝服务攻击!大约有2000万台主机被感染，等待着攻击的指令，没有人知道如何阻止这种攻击。识别这种通讯的惟一方法是深入检查P2P数据包。如果那个数据包是加密的，可疑程度就提高了。

原文出处：http://netsecurity.51cto.com/art/200811/95883.htm