10-异常流量监测
网络流量监控保护措施:检测异常网络流量的重要工具
网络流量监控保护措施:检测异常网络流量的重要工具网络流量监控是一个网络安全领域的重要工作,它可以帮助组织监控和保护其网络资源免受异常流量的威胁。
在网络流量监控中,检测异常网络流量是一个关键的步骤,它可以帮助组织及时采取措施应对潜在的威胁。
在这篇文章中,我将介绍几种检测异常网络流量的重要工具。
1. 漏洞扫描工具:漏洞扫描工具可以扫描网络环境中的潜在漏洞,并提供有关这些漏洞的详细信息。
这些工具可以通过扫描网络设备、操作系统和应用程序等来检测异常网络流量。
它们可以检测到已知的漏洞并提供建议修复措施,帮助组织及时修补漏洞。
2. 入侵检测系统(IDS):入侵检测系统可以监视网络流量,识别和报告异常行为。
它们通过使用签名检测、统计分析和行为分析等技术来检测入侵行为。
当网络流量中存在异常时,IDS可以及时发出警报,并采取适当的措施来对抗入侵。
3. 流量分析工具:流量分析工具可以对网络流量进行深入分析,识别异常的流量模式。
例如,这些工具可以检测到异常的数据包大小、频率、来源和目的地等方面的模式。
通过对这些异常模式的分析,组织可以发现潜在的网络攻击或恶意行为。
4. 数据包嗅探器:数据包嗅探器是一种能够捕获和分析网络数据包的工具。
它们可以监视网络上的实时流量,并识别异常的数据包。
例如,它们可以检测到通过网络传输的恶意软件、网络钓鱼攻击或数据泄露等异常行为。
数据包嗅探器可以提供关于异常数据包的详细信息,帮助组织采取适当的应对措施。
除了上述工具,还有其他一些重要的措施可以帮助组织检测异常网络流量:1. 定期更新和维护网络设备和应用程序,以修补已知的漏洞,并减少网络攻击的风险。
2. 实施强大且复杂的密码策略,以保护网络设备和用户账户免受恶意攻击。
3. 配置防火墙和入侵防御系统,以过滤和阻止恶意流量。
4. 建立网络安全事件响应计划,以及时应对异常网络流量事件,并降低潜在的损失。
总之,检测异常网络流量是网络安全的重要组成部分。
网络安全中的异常流量检测技术研究与应用
网络安全中的异常流量检测技术研究与应用随着互联网的快速发展和普及,网络安全问题日益严重。
异常流量是网络中的一种常见威胁,可能由恶意软件、网络攻击等引起。
为了保护网络的安全,异常流量检测技术成为了一项重要任务。
本文将介绍网络安全中的异常流量检测技术的研究和应用,旨在提高网络安全水平,保护用户信息。
一、异常流量检测技术的意义异常流量检测技术是指通过监控和分析网络流量,识别出与正常流量模式不符的数据流,并采取相应措施进行处理和防护。
它的意义在于:1. 提前发现网络攻击:异常流量往往是网络攻击和恶意活动的重要指标。
通过异常流量检测技术,可以及时发现潜在威胁,防止网络攻击的发生和扩散。
2. 保护网络资源的正常运行:异常流量可能对网络资源造成严重的影响,导致服务不可用或延迟。
通过检测和限制异常流量,可以保证网络资源的正常运行和用户体验。
3. 增强网络安全防护能力:通过不断优化异常流量检测技术,可以提高网络安全防护的效果,提升网络系统的抗攻击能力。
二、异常流量检测技术的研究现状1. 基于签名的检测方法:这种方法通过预先定义的异常流量签名,对流量进行匹配检测。
一旦检测到匹配异常签名的流量,就会触发报警或阻断。
该方法的优点是准确性较高,但需要不断更新和维护签名数据库。
2. 基于行为分析的检测方法:这种方法通过学习和分析网络流量的正常行为,然后检测出与正常行为差异较大的流量。
该方法适用于检测未知的网络攻击,但也容易产生误报。
3. 基于机器学习的检测方法:这种方法通过训练分类器,将网络流量划分为正常和异常两类。
该方法可以针对不同的网络环境进行建模和优化,适应性强。
但需要大量的标注数据和计算资源。
三、异常流量检测技术的应用1. 企业网络安全:在企业网络中,异常流量检测技术可以帮助企业及时发现并应对各类网络攻击,保护企业的重要信息和业务运行。
通过设置阈值和规则,可以对异常流量进行监控和告警,提高安全性。
2. 云计算环境:云计算环境中的异常流量检测技术可以帮助云服务提供商实现对客户资源的动态保护。
网络安全防护的异常流量检测与处理
网络安全防护的异常流量检测与处理在当今互联网时代,网络攻击和数据泄漏事件屡见不鲜,网络安全问题日益突出。
异常流量是指网络传输过程中与正常通信流量不符的数据流,往往是恶意攻击者用来传递病毒、木马或者进行拒绝服务攻击的手段。
因此,正确检测和处理异常流量至关重要,保障网络的安全稳定运行。
1. 异常流量的类型与特点异常流量可能具有多种形式,包括但不限于以下几种:1.1 分布式拒绝服务攻击(DDoS)DDoS攻击是指攻击者利用被大量感染的计算机或服务器同时向目标服务器发送大量的请求,使其资源耗尽无法正常工作。
这种攻击方式常常伴随着异常高峰流量,会导致网络宽带耗尽,服务器瘫痪。
1.2 SYN洪水攻击SYN洪水攻击是指攻击者发送大量的TCP连接请求,但不完整地建立连接,从而占用服务器资源。
这种攻击方式会导致服务器处理大量无效的连接请求,降低系统的正常性能。
1.3 剥夺服务攻击(DoS)DoS攻击是指攻击者通过向目标服务器发送异常或超量的请求,占用其网络带宽、处理能力或存储空间,使其无法正常处理合法请求。
这种攻击方式常常采用特定的网络协议或发包技术,造成目标服务器过载或崩溃。
1.4 网络蠕虫网络蠕虫是一种能够自我复制和传播的恶意程序,通过利用网络中的漏洞快速传播、入侵和破坏目标主机。
在感染其他设备时,网络蠕虫会产生大量的异常流量,对网络和系统造成压力。
1.5 僵尸网络(Botnet)僵尸网络是指攻击者利用恶意软件将大量计算机感染并控制,形成一个庞大的网络,通过操纵这些受感染的计算机来发起攻击。
僵尸网络会产生大量异常的通信流量,用于发送垃圾邮件、执行分布式拒绝服务攻击等。
2. 异常流量检测技术为了检测和处理异常流量,网络安全专家和工程师们开发了各种各样的技术和工具。
以下是几种常见的异常流量检测技术:2.1 统计分析统计分析是一种基于数学和概率模型的异常流量检测方法。
通过对网络流量的特征进行统计分析,如流量大小、数据包数量、协议分布等,可以建立正常流量模型,并根据流量的偏离程度判断是否存在异常流量。
网络安全中的异常流量检测技术综述
网络安全中的异常流量检测技术综述随着互联网的迅猛发展,网络安全问题日益突出,对异常流量的检测变得尤为重要。
异常流量指的是与正常网络流量不符的数据传输活动,可能会导致网络拥塞、资源浪费,甚至对网络安全造成严重威胁。
因此,了解和掌握网络安全中的异常流量检测技术变得至关重要。
异常流量检测技术的发展可以追溯到早期网络攻击的防范需求。
随着网络攻击的日益复杂性和隐蔽性,传统的防御手段已经不能满足对异常流量的检测需求。
因此,出现了一系列创新的异常流量检测技术。
首先,基于统计学的异常流量检测技术是最为传统和常用的一种方法。
这种方法根据历史数据和网络环境的变化情况,对网络流量进行统计分析,通过与预设的阈值进行比较,判断是否存在异常。
该方法的优点是简单易实现,但是对于新型的攻击行为往往无法发现,因为它只能识别已知的异常模式。
为了解决传统方法存在的局限性,出现了一系列基于机器学习的异常流量检测技术。
机器学习算法可以学习和识别大量的网络流量数据模式,从而能够比较准确地识别异常流量。
这种方法可以分为有监督学习和无监督学习两种方式。
有监督学习方法需要使用已知的正常和异常流量数据进行训练,通过训练模型学习到正常和异常流量的特征,以便在实际检测中进行分类。
常用的有监督学习算法包括支持向量机(SVM)、决策树等。
这种方法的优点是检测准确率高,但是需要大量的已标记训练数据,且对新型攻击的适应性较差。
无监督学习方法不需要标记的训练数据,它通过对实际流量数据的模式发现和聚类分析,来识别异常流量。
常用的无监督学习算法包括聚类算法、关联规则挖掘等。
这种方法可以更好地适应未知攻击,但是误报率较高,需要进一步的优化和改进。
除了传统的基于统计学和机器学习的异常流量检测方法,近年来还出现了一些新兴技术,如基于深度学习的异常流量检测。
深度学习算法通过构建复杂深度神经网络,可以自动地学习和表示网络流量数据的高层次特征,从而提高异常流量检测的准确性。
这种方法对于非结构化的大数据具有较强的适应能力,但是需要大量的标记数据和计算资源。
网络安全中的异常流量检测与分析
网络安全中的异常流量检测与分析随着互联网的飞速发展,网络安全问题日益凸显。
网络攻击常常会导致重大的经济损失、数据泄露以及公共安全问题。
恶意攻击的手段和技术越来越高级和复杂,传统的防火墙、入侵检测等安全系统已经难以应对这些攻击。
因此,网络安全领域需要更加高效、智能的解决方案,异常流量检测与分析成为了网络安全的一个重要领域。
一、异常流量的概念和类型异常流量指网络中不符合正常流量特征的流量。
正常流量是具有一定规律性和重复性的网络数据传输,如基于HTTP协议的web访问、电子邮件传输等。
而异常流量则与正常流量相反,具有不规律、突发、高密度等特征,如DDoS攻击、僵尸网络、网络蠕虫等网络安全攻击常见的异常流量。
1. DoS/DDoS攻击DOS(Denial of Service)攻击和DDoS(Distributed Denial of Service)攻击是常见的网络攻击手段之一,旨在通过向目标主机发送大量的服务请求,引起主机的资源瓶颈,让其无法继续提供正常服务。
攻击者通过利用蠕虫、僵尸网络等方式使攻击源变得分散,加大攻击的威力和隐蔽性。
2. 网络蠕虫网络蠕虫是一种具有自我复制能力的恶意程序。
蠕虫扫描网络中的其他主机,通过利用程序漏洞传播自身。
随着蠕虫感染的主机数量增加,网络带宽消耗加大,造成网络拥塞,最终瘫痪整个网络。
3. 僵尸网络僵尸网络是一种通过感染大量的主机,将这些主机作为远程控制的终端,进行大规模的DDoS攻击等恶意活动。
通过远程控制多个僵尸主机,攻击者可以使用其合成的攻击能力来瞄准目标并执行各种攻击操作,如网络流量攻击、网络封锁、木马植入等。
二、异常流量检测的实现方法异常流量的检测可以通过以下方法实现:1. 基于流量统计方法基于流量统计方法是一种被广泛使用的异常流量检测方法,通过对网络流量进行统计和分析,识别不同类型的流量,当发生异常流量时,报警或进行相应的处理。
这种方法同样可以使用机器学习技术对大量的流量数据进行训练和分类,提高异常流量的准确性和细化程度。
异常流量检测概述
异常流量检测概述异常流量检测是指通过分析和监测网络流量,识别并捕获与正常网络行为不符的异常流量或攻击行为。
在现代网络环境下,网络攻击和恶意活动越来越多,因此异常流量检测变得非常重要,因为它可以帮助及早发现并阻止这些攻击,保护网络的安全性和可用性。
异常流量检测的目标是准确地识别那些可能是恶意的、不合法的或异常的网络流量。
这种流量可能包括网络攻击、恶意软件、数据泄露、异常用户行为等。
通过分析和监测流量模式和行为,异常流量检测系统可以检测并标记这些异常流量,并根据需要采取进一步的操作,如阻止流量、警报管理员等。
异常流量检测通常有两种方法:基于特征的方法和基于行为的方法。
基于特征的方法使用已知的网络攻击特征来检测异常流量,例如利用已知的攻击签名或特征进行匹配。
这种方法的优点是准确性高,但对于新型攻击或变种攻击可能不够有效。
基于行为的方法则通过分析流量的行为模式来检测异常,而不关注具体的攻击特征。
这种方法的优点是适应能力强,可以检测未知的攻击或变种攻击,但可能会产生较多的误报。
异常流量检测系统通常由以下几个关键组件组成:数据采集器、数据处理引擎、异常检测算法和报警系统。
数据采集器负责收集网络流量数据,可以是网络设备、代理服务器、入侵检测系统等。
数据处理引擎对收集到的数据进行处理和分析,提取有用的特征或行为模式。
异常检测算法根据特征或行为模式与已知的正常网络行为进行比较,识别异常流量。
报警系统在检测到异常流量时发出警报,通知管理员采取必要的措施。
在实际应用中,异常流量检测可以用于多种场景,如入侵检测、反恶意软件、网络安全监控等。
入侵检测是异常流量检测的一个重要应用领域,通过检测和阻止网络入侵行为,保护网络的安全性。
反恶意软件则可以通过监测恶意软件的行为模式,及时发现并清除感染的计算机。
网络安全监控可以帮助企业监测网络行为,防范内外部的网络攻击。
尽管异常流量检测在保护网络安全方面起到了重要作用,但也存在一些挑战和限制。
网络安全管理中的异常流量检测与防御(十)
网络安全管理中的异常流量检测与防御随着互联网技术的发展和普及,网络安全问题愈发突出。
在大数据时代,网络攻击手段不断升级,给网络安全带来了更多挑战。
异常流量检测与防御成为了网络安全管理中的重要一环。
本文将探讨异常流量检测与防御的意义、方法以及当前所面临的挑战。
一、异常流量检测的意义异常流量指的是网络中超出正常范围的数据交互。
它可能是网络攻击者故意发起的攻击行为,也可能是由于系统故障、网络拥堵等原因产生的。
异常流量的出现,不仅会对网络的正常运行造成影响,还会导致隐私泄露、经济损失等严重后果。
通过异常流量检测,网络管理员可以及时发现异常流量并做出相应的应对措施,减少安全风险。
因此,异常流量检测在网络安全管理中具有重要的意义。
二、异常流量检测的方法1. 基于行为分析的异常流量检测基于行为分析的异常流量检测主要是通过对网络数据流量的监控与分析,识别出异常行为。
这种方法主要关注网络数据和用户行为的统计特性。
例如,通过统计特定端口的流量是否超过一定阈值,或者分析用户登录行为是否存在异常。
2. 基于机器学习的异常流量检测基于机器学习的异常流量检测通过构建模型,学习正常网络流量的特征,从而可以判断出异常流量。
这种方法能够自动学习并适应网络流量的变化,具有较高的灵活性和准确性。
三、异常流量防御的策略1. 段级别的流量监测与过滤通过在网络中的各个段附加流量监测与过滤设备,可以实时监测流量,并进行针对性的过滤与阻断。
这种策略可以大大提高异常流量检测的效率与准确性。
2. 网络入侵检测与防御系统(IDS/IPS)IDS/IPS系统是一种主动的网络安全防御设备,可以主动检测并阻断攻击行为。
它通过对网络流量、协议等进行深度分析,能够及时发现并应对异常流量。
四、异常流量检测与防御面临的挑战1. 加密流量的处理随着加密通信的普及,攻击者也开始使用加密方式进行攻击。
传统的流量检测方法无法对加密流量进行透明监测,给异常流量检测带来了较大挑战。
网络环境下的异常流量检测与分析
网络环境下的异常流量检测与分析随着互联网的快速发展和普及,网络攻击的数量和复杂性也在不断增加。
为了保护网络安全和预防网络攻击,异常流量检测与分析成为了当今互联网安全领域的重要课题。
本文将介绍网络环境下的异常流量检测与分析的概念、方法和应用,并探讨一些常见的异常流量检测技术。
首先,什么是网络环境下的异常流量?网络流量是指在网络中传输的数据包的数量,正常流量是指在网络中传输的数据包符合一定的模式和规律。
而异常流量则是指与正常流量模式和规律不符的数据包。
异常流量的产生可能是由于网络攻击、网络故障、网络拥堵等原因导致。
异常流量的检测与分析可以帮助我们及时发现和应对网络攻击,提高网络安全性和稳定性。
异常流量检测与分析主要包括以下几个步骤:流量采集、流量预处理、异常流量检测和异常流量分析。
首先,流量采集是指通过监控网络中的数据包传输情况来收集网络流量数据。
流量预处理是指对采集到的流量数据进行清洗和处理,排除噪声和异常数据,以便于后续的分析工作。
异常流量检测是指通过比较采集到的流量数据和正常流量模式进行差异性分析,以便于判断是否存在异常流量。
异常流量分析是指对检测到的异常流量进行深入分析,确定异常流量的类型、原因和影响,并探索相应的防御和应对措施。
针对网络环境下的异常流量检测与分析,目前有许多有效的技术和方法可供选择。
其中,基于统计的方法是最常用和最经典的异常流量检测技术之一。
该方法通过对流量数据的统计分析,建立正常流量模型,并通过与实际流量数据进行比较来判断是否存在异常。
另外,基于机器学习的方法也得到了广泛应用。
这种方法通过对大量的流量数据进行训练和学习,建立流量模型,并通过与实际流量数据进行比较进行异常检测。
基于机器学习的方法具有较好的自适应性和准确性,可以有效应对复杂和多变的网络环境。
在实际应用中,异常流量检测与分析具有广泛的应用场景和重要的价值。
首先,异常流量检测与分析可以帮助网络管理员及时发现和应对网络攻击。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
l
24
与报文分片(fragment)相关的网络攻击
l
传送IP报文的数字链路可以规定一个单个IP报文的最大长度,即 最大传输单元(MTU)。对一些大的IP报文进行分片传送。比如 一个4500字节的IP报文在MTU=1500的链路上传输的时候,需 要分成三个IP报文。 分片报文使用的偏移字段和分片标志(MF)标识。
l
路由协议用于在网络设备(路由器)之间交换路由信息。目前常 见的路由协议有 -RIP(Routing Information Protocol,路由信息协议) -OSPF(open shortest path first,开放最短路径) -IS-IS(intermediate system –intermediate system,中间系统 至中间系统) -BGP(Border Gateway Protocol ,边界网关协议)。
网
络
流
ห้องสมุดไป่ตู้
量
监
测
异常流量监测
宽 带 网 络 监 控 教 研 中 心
目录
1. 2. 3. 4.
异常流量概念 链路流量及其异常 直接影响网络正常运行的流 针对路由协议和设备转发表的攻击 与IP报文有关的异常 与TCP报文和通信过程相关的异常 与ICMP报文相关的攻击和异常 其它异常
18
5.与IP报文有关的异常
l
IP报文的头部是一些事先定义的字段。这些字段被填 入错误的值将导致网络或它连接的主机出现各种问题。 以下是一些典型的例子。
19
IP报头结构
版本 V
头⻓长HL
服务类型 TOS 标志Flag
总⻓长度 TLEN 分片片偏移量 Offset
标识符 Identification 生生存时间 TTL 协议 Protocol
8
直接影响网络正常运行的流
l
把直接影响网络正常运行的流作为最重要的流。例如:
– – – –
与DNS服务器的通信直接影响到域名解析的实现; SNMP协议流是否正常会直接关系到网络管理系统; 路由协议的流关系到网络中所有报文被正确地送往目的地; 与RADIUS服务器通信的报文流影响用户的安全性;例如: 一个猜登录密码的过程会表现为出现大量的以同一用户名登 录的RADIUS报文,其应答报文都是“口令错误”。
13
-模仿任何主机,使得所有应该发送到那台主机的通信 都被发送到攻击者的计算机中。
针对OSPF协议的攻击
l
OSPF协议适合大型网络使用。OSPF路由协议通过建 立邻接关系来交换路由器的本地链路信息,然后形成 一个整网的链路状态数据库。路由器可以很容易地在 该数据库基础上计算出路由表。 攻击者通过冒充合法的路由器与网络中的路由器建立 邻接关系,并向它发送大量的链路状态广播报文,引 导该路由器形成错误的网络拓扑结构,从而导致整个 网络的破坏。
l
流量监测系统能够发现一些这种报文。例如:流量监 测系统一般会对链路两端的IP地址范围有一定的了解, 因此可以发现链路这一端的IP地址作为源地址却出现 在由链路那一端发出的IP报文中。
21
例:一种SQL Server蠕虫病毒
l
攻击者向一台运行SQL Server解析服务的服务器发送 一个解析服务报文,该报文的源地址填写为另外一台 运行SQL Server解析程序的服务器,由于SQL Server 解析服务的一个漏洞,就可能使得该报文在这两台服 务器之间往复,最终导致服务器或网络瘫痪。
l
26
6.与TCP报文和通信过程相关的异常
l l
大量的网络攻击利用TCP协议的漏洞。 TCP协议的漏洞表现在两个方面:
– –
报文定义的松泛。 协议过程的不严谨。
27
TCP报文中的标志比特
l
分组头校验和 Checksum
源 IP 地址 Source
20
⺫目目的 IP 地址 Destination IP 选项 Option 填充 Pad
数据
:
伪造的源IP地址
l
一般情况下,路由器在转发报文的时候,只根据报文 的目的地址查路由表,而不管报文的源地址是什么。 一些网络攻击使用伪造的源IP地址,这样会导致报文 接收者向错误的主机(通常是被攻击对象)发送应答。
l l
3
l l
2.链路总流量及其异常
l
链路总流量:网络中一条物理链路上的单位时间流过 比特数或者字节数。 单向流量和双向流量 上行流量和下行流量:
–
l l
上行流量是指流出到上一级网络的流量,下行流量则是流入 流量。
4
l
总流量异常:
资源耗尽攻击
l
接收主机重组分片报文的过程需要消耗内存和IP协议 栈的数据结构 如果攻击者给目标主机只发送一部份分片报文,目标 主机就会一直等待 如果攻击者发送了大量的上述这种无法完成重组的分 片报文,就会消耗掉目标主机的大量资源而导致其不 能处理其它正常的IP报文。
l
l l
17
针对ARP表的攻击
l
攻击者可以变换不同的IP地址和MAC地址,向同一台 网络设备发送大量的ARP请求,使其因为ARP缓存溢 出而崩溃。
l
通过发送带有错误的源MAC地址和IP地址的ARP请求 报文误导接收主机,使其建立错误的ARP表。例如: 一个攻击者使用自己的MAC地址作为源MAC地址,而 使用另一个主机的 IP地址作为源IP地址的ARP请求报 文,将导致发送到该IP地址的报文全部送到攻击者的主 机。
– –
瞬间的流量突变 与日常观测的流量规律不符合
链路总流量的时间规律
l
每日流量规律:
– –
每日流量在白天或者午夜前的某个时段出现高峰, 在午夜后到清晨的一个时段达到谷底。
l l l
各日流量遵循大致相同的时间变化规律 工作日和节假日有显著的不同。 流量基线:
l
某种特定长度的报文数量激增往往是网络异常的表现。
–
7
大量建立连接往往导致线路上瞬时出现大量短报文。
3.特定流的流量异常
l l
链路总流量细分为一些流:流量正常的流和异常的流。 例如:
– –
发现某些IP地址对之间的通信流量异常, 发现某些协议类型的通信流量异常。
2
5. 6. 7. 8.
1.异常流量概念
l
在正常情况下,经过多个主机汇聚产生的网络出口流量具有明显 的规律性 流量在瞬间出现违反这种规律的情况,即出现了异常流量 异常流量往往表示网络本身出现了异常,例如网络中某个设备损 坏;或者网络受到了攻击 异常流量分析,就是要发现异常流量,并分析其来源、原因 本节讨论通过网络流量监测手段可能看到的网络异常流量及其含 义。
l
14
如何监测针对路由协议的攻击
l
运行路由协议的路由器可以通过启用路由协议数据单 元的HMAC(Hash message authentication codes, Hash信息验证码 )验证功能避免这种攻击。 流量监测系统可以通过发现来源不合法的路由协议报 文来监测这种攻击的发生。
l
15
对设备转发表的攻击
l
设备转发表指网络设备(路由器或交换机)上的一些 表项,用于指示报文的转发方向。如MAC地址表, ARP表,快速转发表等。
l
攻击者通过发送合适的数据报,促使设备建立大量的 此类表格,就会使设备的存储资源耗尽,表内容被破 坏,从而不能正常地转发数据报文。
12
它便把这些路由信息引入自己的路由表中。
针对RIP协议的攻击
l
一个攻击者向一台运行RIP协议的路由器发送了人为 构造的带破坏性的路由更新报文,后果: -很容易把路由器的路由表搞乱,从而导致网络中断。 -把数据包指定到某台设备转发,在这台设备中,数据 包既可以被检查,也可以被修改。
22
LAND攻击
l
一种更为特别的伪造源IP地址的方式是在报文中使用 目的IP地址作为源IP地址。这种报文被主机接收后会 导致不可预期的后果。因此常常被作为一种恶意攻击 的手段。 LAND攻击:攻击者向目标主机发送一个源和目的IP 地址相同的TCP SYN报文。这导致目标主机接收到这 个SYN报文后向自己发送一个ACK报文,并建立一个 TCB(TCP Control Block)。如果攻击者发送了足够多 的这类报文,则目标主机的TCB可能耗尽而最终不能 继续提供正常服务。
– – –
l l
6
发出大量连接请求 响应大量连接请求 在短时间内迅速建立大量连接
l
超短连接
报文长度分布
l l
某一长度范围的报文有多少个。 一般情况下报文长度分布具有明显的规律。
– –
长报文(1024字节以上)和短报文(<=64字节)是大部分 。 其它长度的报文很少。
–
l
MF设置为1的IP报文是一个大的IP报文的分片; 偏移字段指出了这个分片在整个IP报文中的位置。例如4500 字节的IP报文分成三个分片后,其偏移字段的值分别为0, 1500,3000。它们在IP报头中使用相同的ID,表示同一个 报文。
25
–
l
分片报文越多,则其传输效率越低。如果发现网络中有大量的分 片报文,其长度又远小于MTU时,应当研究原因和在网络中采 取改进措施。