此外，如果普通客戶端感染了Slamper Worm，則可能會(huì)受到病毒感染或其他針對(duì)HTTP的攻擊。此外，如果普通客戶端感染了Slamper Worm，那么它很可能會(huì)受到病毒感染或HTTP攻擊行為的影響?？梢灾繧P地址是網(wǎng)段中的SQL漏洞掃描。使用Netflow分析DoS攻擊流量的DoS攻擊使用非正常數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其訪問(wèn)服務(wù)器，從而導(dǎo)致網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或者影響其他相關(guān)用戶流量的正常通信。例如，DoS可以利用TCP協(xié)議的缺陷，通過(guò)SYN打開(kāi)半開(kāi)放的TCP連接，消耗系統(tǒng)資源，并導(dǎo)致合法用戶無(wú)法建立正常的TCP連接。以下是典型的多數(shù)式攻擊的凈流數(shù)據(jù)實(shí)例，其中多個(gè)偽造源IP將TCP SYN攻擊地址定位到目標(biāo)IP。

11L*68.。攻擊的共同點(diǎn)是SYN泛濫，其特點(diǎn)是設(shè)置了TCP報(bào)頭中的SYN，并且存在大量SYN特征包。FAG位以Netflow輸出格式提供，這為我們判斷SYN攻擊創(chuàng)造了條件，因此檢測(cè)SYN攻擊的條件是：在5分鐘內(nèi)生成大量fag-2數(shù)據(jù)包，正常連接不產(chǎn)生那么多NAG=2的數(shù)據(jù)包，因此閾值可以設(shè)置為5000。

如果主機(jī)發(fā)送的fag-2數(shù)據(jù)包數(shù)量超過(guò)1000個(gè)，則該主機(jī)被視為正在發(fā)起攻擊。以下是SYN字符的凈流實(shí)例。STP Siffi Proto Pkts Octet 133.13.各種DDoS攻擊。筆畫的特點(diǎn)是在短時(shí)間內(nèi)產(chǎn)生大量的數(shù)據(jù)包，因此，即使我們不知道攻擊包的特性，也可以在Netflow的輸出結(jié)果中找到異常流，這為及時(shí)檢測(cè)和預(yù)防網(wǎng)絡(luò)中的不安全因素提供了一種有效的手段。

     假設(shè)ADSL撥號(hào)用戶從Internet上的ftp服務(wù)器下載可疑文件，在客戶端PC上留下下載日期和時(shí)間戳信息。在本地訪問(wèn)服務(wù)器上，您還可以看到在適當(dāng)?shù)臅r(shí)間將特定的IP地址分配給客戶端PC，并且客戶端的家庭電話號(hào)碼可以通過(guò)ISP端的ANI(自動(dòng)號(hào)碼識(shí)別)日志與Internet撥號(hào)信息相關(guān)聯(lián)。同時(shí)，ISP路由器記錄FTP下載/上傳網(wǎng)絡(luò)流量日志(通常保留30天)，這是至關(guān)重要的。最后，F(xiàn)TP服務(wù)器上有完整的下載記錄。連接是從客戶端啟動(dòng)的。從FTP服務(wù)器下載分為四個(gè)階段，分別是客戶端身份驗(yàn)證、路由器轉(zhuǎn)發(fā)和FTP服務(wù)器接收下載。在每個(gè)階段，都有記錄信息，包括用戶帳號(hào)、登錄時(shí)間、IP端口、數(shù)據(jù)包大小和日期。時(shí)間戳等等。日志信息存儲(chǔ)在不同的設(shè)備上。即使某些日志被損壞到一定程度(例如篡改IP、丟失一些日志等)，它也不會(huì)影響整個(gè)世界。對(duì)于調(diào)查人員來(lái)說(shuō)，進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)取證特別重要，希望能吸引管理人員的注意。在某些情況下，設(shè)備不支持Netflow。如何監(jiān)視流量？這個(gè)環(huán)境還有一個(gè)解決方案，就是使用Probe.UseProbe生成默認(rèn)版本格式的凈流消息。

      探測(cè)最初是一個(gè)在BSD環(huán)境中運(yùn)行的軟件。它可以將NIC接口接收到的數(shù)據(jù)轉(zhuǎn)換成Netflow數(shù)據(jù)，并發(fā)送到Netflow分析儀。通過(guò)部署這樣的OSSIM服務(wù)器，我們可以將網(wǎng)絡(luò)流量鏡像到OSSIM服務(wù)器。網(wǎng)絡(luò)流量分析。OSSIM服務(wù)器在網(wǎng)絡(luò)流量分析器中，探測(cè)器由以下三個(gè)工具組成：從遠(yuǎn)程主機(jī)發(fā)送數(shù)據(jù)流。上升：NetFlow分析圖形前端Fdump：NetFlow收集模塊.。

      有關(guān)OSSM結(jié)構(gòu)，請(qǐng)參閱本書第14章。本文介紹了利用網(wǎng)絡(luò)流量分析數(shù)據(jù)包的過(guò)程。首先，在網(wǎng)絡(luò)接口上接收數(shù)據(jù)。探測(cè)程序根據(jù)一定的規(guī)則和格式將采集到的數(shù)據(jù)轉(zhuǎn)換成Netflow格式，并發(fā)送到系統(tǒng)的555端口。存儲(chǔ)在varrcachefdump/flow/目錄中，最后由Web前端程序讀取，通過(guò)端口555接收數(shù)據(jù)，并在前臺(tái)Web接口上以情景感知的形式顯示結(jié)果?！W(wǎng)絡(luò)?！髁浚@示效果在OSSM的右側(cè)導(dǎo)航欄可以查看分析。