总的来说,开始一个正常的TCP连接包含的三次握手包括:
·首先,一个客户将向目标主机发送一个同步数据包
·然后,目标主机发回一个同步/确认数据包
·客户机确认目标主机的确认信息
·一个连接就建立起来了
下面的图表说明了这个握手过程:
例如,让我们说一个同步数据包到达了一台主机的目标端口。如果这个端口是打开的,这个蠕虫发送的同步请求就会得到回应。不管那个端口运行的服务是否有安全漏洞都是如此。然后,标准的TCP三次握手将完成,随后是携带PUSH和ACK等其它TCP标记的数据包。
使用NetFlow第五版识别分布式拒绝服务攻击的一个方法是:
·搜索收集的流量记录并且过滤掉只有同步字节集的全部流量记录
·提取每一个流量记录的源IP地址
·计算每一个独特的IP地址的出现次数,然后按照每一个IP地址记录的次数排序
按照上述流程,将生成一个潜在的合适的列表。可以根据网络规模和通讯流量设置门限值。超过门限值的主机将被认为是潜在的恶意主机。再说一次,这不是识别分布式拒绝服务攻击的唯一方法。
8. Plixer正在做什么帮助企业识别恶以行为
我们发布了一个观察流量方式的流量分析工具。各种流量方式将被积累起来,异常的方式将启动一个名为CI(担心指数)的指示器。随着同一个主机上出现更多的算法,这个担心指数将增加。
流量分析解屏图像
9.没有任何东西能够阻止“风暴蠕虫”是真的吗
Patterson回答说,从我了解到的情况,目前没有任何东西能够检测到“风暴蠕虫”的传播。“风暴蠕虫”的传播机制定期变化。它开始的时候是以PDF格式的垃圾邮件的方式传播,接下来,它的程序员开始使用电子卡和YouTube网站的邀请进行传播,并且使用最终能够引诱用户点击一个电话链接。“风暴蠕虫”还开始发布博客评论垃圾邮件,再一次引诱读者点击被感染的链接。虽然这些手段都是标准的蠕虫策略,但是,这种情况表明了“风暴蠕虫”是如何在所有的层次上不断地变化的。
“风暴蠕虫”包含两种类型的被感染的主机,“指挥与控制”和“工作者”主机。这些被感染主机都采用BitTorrent等P2P网络进行沟通,从而提高了跟踪和关闭的难度。C2(指挥与控制)主机仅仅呆在那里并且等待着,每一个C2主机跟踪20个工作者主机。这些被感染的主机几乎不产生通讯流量并且使用“Fast-Flux”躲避检测的DNS系统避免安全人员的猜测。“风暴蠕虫”还不断重新编写自己的代码防止被识别出来。没有人知道如何保持不间断地识别出这种病毒。“风暴蠕虫”以一个“root kit”(根工具包)的方式运行,几乎不使用CPU和内存,因此,你很难发现它。
更糟糕的是,如果你发现某些东西出现了错误并且对一个可疑的主机进行安全扫描,这种做法会把你的网络暴露给僵尸网络和分布式拒绝服务攻击!大约有2000万台主机被感染,等待着攻击的指令,没有人知道如何阻止这种攻击。识别这种通讯的惟一方法是深入检查P2P数据包。如果那个数据包是加密的,可疑程度就提高了。