常见异常流量及蠕虫案例

异常流量的数据包类型

1、TCP SYN flood（40字节）

　　11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1

　　从NetFlow的采集数据可以看出，此异常流量的典型特征是数据包协议类型为6（TCP），数据流大小为40字节（通常为TCP的SYN连接请求）。 

2、ICMP flood

　　2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1

　　从NetFlow的采集数据可以看出，此异常流量的典型特征是数据包协议类型为1（ICMP），单个数据流字节数达218M字节。 

3、UDP flood

　　*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1

　　*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1

　　从NetFlow的采集数据可以看出，此异常流量的典型特征是数据包协议类型为17（UDP），数据流有大有小。 

4、其它类型

　　其它类型的异常流量也会在网络中经常见到，从理论上来讲，任何正常的数据包形式如果被大量滥用，都会产生异常流量，如以下的DNS正常访问请求数据包（协

  议类型53）如果大量发生，就会产生对DNS服务器的DoS攻击。

　　211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1 

5. 异常流量的源、目的地址

     目的地址为固定的真地址，这种情况下目的地址通常是被异常流量攻击的对象

　　目的地址随机生成，如下例数据：

　　目的地址有规律变化，如下例数据，目的地址在顺序增加： 

     源地址为伪造地址，这种情况源地址通常随机生成，如下例数据，源地址都是伪造的网络地址：

　　63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1

　　12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1

　　212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1 

6. 异常流量的源、目的端口分析

     异常流量的源端口通常会随机生成，如下例数据： 

     多数异常流量的目的端口固定在一个或几个端口，我们可以利用这一点，对异常流量进行过滤或限制，

常见蠕虫病毒的NetFlow分析案例

红色代码 (Code Red Worm)

　　2001年7月起发作，至今仍在网络流量中经常出现。 

　　211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1

　　211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1

　　211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1

　　NetFlow流数据典型特征：目的端口80, 协议类型80，包数量3，字节数144。

硬盘杀手

　　（worm.opasoft，W32.Opaserv.Worm）

　　2002年9月30日起发作，曾对许多网络设备性能造成影响，2003年后逐渐减少。

　　61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1

　　61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1

　　61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1

　　NetFlow流数据典型特征：目的端口137，协议类型UDP，字节数78。

2003蠕虫王

　　(Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)

　　2003年1月25日起爆发，造成全球互联网几近瘫痪，至今仍是互联网中最常见的异常流量之一。

　　61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1

　　61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1

　　61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1

　　NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404

冲击波

　　(WORM.BLASTER，W32.Blaster.Worm)

　　2003年8月12日起爆发，由其引发了危害更大的冲击波杀手病毒。

　　211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1

　　211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1

　　211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1

　　典型特征：目的端口135，协议类型TCP，字节数48

冲击波杀手

　　（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）

　　2003年8月18日起发现，其产生的ICMP流量对全球互联网造成了很大影响，2004年后病毒流量明显减少。

　　211.*.*.91|211.*.*.77|Others|Others|4|0|0|2048|1|1|92|1

　　211.*.*.91|211.*.*.78|Others|Others|4|0|0|2048|1|1|92|1

　　211.*.*.91|211.*.*.79|Others|Others|4|0|0|2048|1|1|92|1

　　NetFlow流数据典型特征：目的端口2048，协议类型ICMP，字节数92

振荡波

　　(Worm.Sasser，W32.Sasser)

　　2004年5月爆发。

　　61.*.*.*|32.*.70.207|Others|Others|3|0|10000|445|6|1|48|1

　　61.*.*.*|24.*.217.23|Others|Others|3|0|10000|445|6|1|48|1

　　61.*.*.*|221.*.65.84|Others|Others|3|0|10000|445|6|1|48|1

　　NetFlow流数据典型特征：目的端口445，协议类型TCP，字节数48 

参考：http://baike.baidu.com/view/490587.htm