趙瑞剛 黃家林

中南大學(xué)信息科學(xué)與工程學(xué)院 湖南 410083

0 前言

大型校園網(wǎng)絡(luò)是復(fù)雜的，給網(wǎng)絡(luò)管理增加了不少難度，目前，校園網(wǎng)中對(duì)網(wǎng)絡(luò)安全和性能影響較大的網(wǎng)絡(luò)行為有：ARP攻擊、DoS攻擊、蠕蟲病毒攻擊、P2P、私接網(wǎng)絡(luò)造成網(wǎng)絡(luò)拓?fù)洵h(huán)路，黑客入侵等。下面，將分別對(duì)這些網(wǎng)絡(luò)行為的特征、故障現(xiàn)象、識(shí)別定位過程等，進(jìn)行詳盡的分析。

1 RP攻擊

1.1 RP攻擊類型

ARP攻擊主要有兩種類型：ARP欺騙和ARP泛洪攻擊。

1.2 ARP攻擊的網(wǎng)絡(luò)行為特征

影響參數(shù)：網(wǎng)關(guān)設(shè)備、接入設(shè)備的CPU利用率，MAC地址沖突告警；

取證來源：SYSLOG，協(xié)議分析；

告警觸發(fā)條件：C1*1秒CPU利用率+C2 *1分鐘CPU利用率+C3*5分鐘CPU利用率+C4，其中C1、C2、C3、C4為經(jīng)驗(yàn)系數(shù)。

1.3 ARP攻擊的識(shí)別過程

1.3.1 ARP欺騙攻擊的識(shí)別過程

網(wǎng)絡(luò)特征：網(wǎng)關(guān)及接入設(shè)備的CPU利用率異常高，接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱，局域網(wǎng)里丟包現(xiàn)象嚴(yán)重，網(wǎng)關(guān)設(shè)備會(huì)發(fā)出日志告警信息，指出沖突的MAC地址。

識(shí)別定位過程：發(fā)現(xiàn)CPU利用率異?！鷻z查網(wǎng)關(guān)的SYSLOG日志信息，識(shí)別出發(fā)起ARP攻擊的主機(jī)的MAC地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的IP地址、用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

1.3.2 ARP泛洪攻擊的識(shí)別過程

網(wǎng)絡(luò)特征：網(wǎng)關(guān)及接入設(shè)備的CPU利用率異常高，接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱，局域網(wǎng)里丟包現(xiàn)象嚴(yán)重，網(wǎng)關(guān)設(shè)備不會(huì)發(fā)出日志告警信息。

識(shí)別定位過程：發(fā)現(xiàn)CPU利用率異?！谙嚓P(guān)VLAN抓包分析ARP廣播報(bào)文→通過排序識(shí)別出發(fā)起ARP攻擊的主機(jī)的MAC、IP地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

2 DoS攻擊

拒絕服務(wù)（Denial of Service，DoS），造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。

2.1 DoS攻擊主要有兩種類型

目標(biāo)資源匱乏型和網(wǎng)絡(luò)帶寬消耗型。

2.2 DoS攻擊的行為特征

影響參數(shù)：網(wǎng)絡(luò)設(shè)備的CPU利用率，接入端口帶寬利用率及變化率，接入端口的包轉(zhuǎn)發(fā)率，網(wǎng)絡(luò)連接分布特征等。

取證來源：NetFlow，SNMP，協(xié)議分析。

告警觸發(fā)條件：

（1）接入端口帶寬利用率急劇變化，然后基本恒定；

（2）接入端口的包轉(zhuǎn)發(fā)率急劇上升，出入嚴(yán)重不對(duì)稱；

（3）網(wǎng)絡(luò)連接分布特征：多點(diǎn)對(duì)一點(diǎn)。

2.3 DoS攻擊識(shí)別過程

網(wǎng)絡(luò)特征：端口的帶寬占用率單方向異常升高，而且上升斜率很陡，接入設(shè)備的CPU利用率異常升高，接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱，用戶覺得網(wǎng)絡(luò)很慢，從流量信息中可以看到多個(gè)IP地址同時(shí)向一個(gè)IP地址發(fā)送數(shù)據(jù)包。

識(shí)別定位過程：端口的帶寬占用率單方向異常高，而且上升斜率很陡→檢查Netflow流量信息→識(shí)別出被攻擊主機(jī)的IP地址及所用協(xié)議和端口等信息→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的MAC地址、用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

3 蠕蟲病毒攻擊

蠕蟲病毒，作為對(duì)互聯(lián)網(wǎng)危害嚴(yán)重的一種計(jì)算機(jī)程序，其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同，蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象。

3.1 蠕蟲病毒攻擊的識(shí)別

蠕蟲病毒在攻擊時(shí)的主要?jiǎng)幼饔校汗艋蛳闹鳈C(jī)資源，向其他主機(jī)瘋狂傳播。

3.2 蠕蟲病毒攻擊的行為特征

影響參數(shù)：網(wǎng)絡(luò)設(shè)備的CPU利用率，接入端口帶寬利用率及變化率，接入端口的包轉(zhuǎn)發(fā)率，網(wǎng)絡(luò)連接分布特征等。

取證來源：NetFlow，SNMP，協(xié)議分析。

告警觸發(fā)條件：

（1）接入端口帶寬利用率急劇變化；

（2）接入端口的包轉(zhuǎn)發(fā)率急劇上升，出入嚴(yán)重不對(duì)稱；

（3）網(wǎng)絡(luò)連接分布特征：一點(diǎn)對(duì)多點(diǎn)。

3.3 蠕蟲病毒攻擊識(shí)別過程

網(wǎng)絡(luò)特征：接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱，接入設(shè)備的CPU利用率異常升高，局域網(wǎng)里其它主機(jī)丟包現(xiàn)象嚴(yán)重，從流量信息中可以看到一個(gè)IP地址同時(shí)向多個(gè)IP地址發(fā)送數(shù)據(jù)包。

識(shí)別定位過程：接入端口的包轉(zhuǎn)發(fā)率在出入方向嚴(yán)重不對(duì)稱（端口的帶寬占用率可能單方向異常升高，上升斜率很陡）→檢查Netflow流量信息→識(shí)別出發(fā)作主機(jī)的IP地址→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的MAC地址、用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

4 P2P流量特征

P2P主要依賴于網(wǎng)絡(luò)中參與者的帶寬和計(jì)算能力；另外，P2P也是英文Point to Point的縮寫，在這里，它是下載術(shù)語，意思是在你下載的同時(shí)，自己的電腦還要繼續(xù)做主機(jī)上傳，這種下載方式，人越多速度越快，但缺點(diǎn)是幾乎可以無限制地消耗網(wǎng)絡(luò)的帶寬資源，對(duì)網(wǎng)絡(luò)性能影響極大。

4.1 P2P的行為特征

影響參數(shù)：接入端口帶寬利用率及變化率，接入端口的包轉(zhuǎn)發(fā)率，網(wǎng)絡(luò)連接分布特征。

取證來源：NetFlow，SNMP，協(xié)議分析。

告警觸發(fā)條件：

（1）接入端口帶寬利用率基本恒定，處于高位運(yùn)行；

（2）接入端口的包轉(zhuǎn)發(fā)率出入基本對(duì)稱；

（3）網(wǎng)絡(luò)連接分布特征：多點(diǎn)對(duì)多點(diǎn)。

4.2 P2P行為的識(shí)別過程

網(wǎng)絡(luò)特征：端口的帶寬占用率雙向異常高，持續(xù)時(shí)間長，接入端口的出現(xiàn)擁塞，丟包現(xiàn)象嚴(yán)重，網(wǎng)絡(luò)設(shè)備一般不會(huì)發(fā)出日志告警信息，單個(gè)IP雙向并發(fā)連接數(shù)高。

識(shí)別定位過程：檢查Netflow流量信息→檢查接入設(shè)備的端口包轉(zhuǎn)發(fā)率→找到雙向并發(fā)連接數(shù)高的單個(gè)IP→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)主機(jī)的MAC、IP地址、用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

5 網(wǎng)絡(luò)拓?fù)涔收?/h2>

當(dāng)用戶私自接入網(wǎng)絡(luò)造成環(huán)路時(shí)，網(wǎng)絡(luò)中會(huì)產(chǎn)生廣播風(fēng)暴，網(wǎng)絡(luò)將出現(xiàn)癱瘓。

5.1 網(wǎng)絡(luò)拓?fù)洵h(huán)路行為特征

影響參數(shù)：網(wǎng)絡(luò)設(shè)備的CPU利用率，接入端口帶寬利用率及變化率。

取證來源：SYSLOG，SNMP，協(xié)議分析。

告警觸發(fā)條件：

（1）接入端口帶寬利用率：帶寬利用率急劇變化；

（2）SYSLOG告警信息；

（3）網(wǎng)絡(luò)設(shè)備CPU利用率急劇上升。

5.2 網(wǎng)絡(luò)拓?fù)洵h(huán)路的識(shí)別過程

網(wǎng)絡(luò)特征：網(wǎng)絡(luò)設(shè)備的CPU利用率和接入端口的包轉(zhuǎn)發(fā)率、接入端口帶寬利用率急劇升高，帶寬占用率的上升斜率很陡，接入交換機(jī)上的所有用戶幾乎同時(shí)不能上網(wǎng)，接入端口的網(wǎng)絡(luò)設(shè)備會(huì)發(fā)出日志告警信息。

識(shí)別定位過程：發(fā)現(xiàn)CPU利用率異?！鷻z查SYSLOG的日志信息，找出造成環(huán)路的端口→從用戶數(shù)據(jù)庫中查出對(duì)應(yīng)的IP地址、用戶名、接入設(shè)備的相關(guān)信息（如接入端口、設(shè)備型號(hào)等）。

6 入侵網(wǎng)絡(luò)行為特征

6.1 入侵的行為特征

影響參數(shù)：網(wǎng)絡(luò)連接分布特征。

取證來源：NetFlow，SYSLOG，協(xié)議分析。

告警觸發(fā)條件：

（1）網(wǎng)絡(luò)連接分布特征：一點(diǎn)（外）對(duì)多點(diǎn)（內(nèi)）（前期掃描）；

（2）多次無效登錄企圖；

（3）異常的登錄時(shí)間。

6.2 入侵攻擊的識(shí)別過程

網(wǎng)絡(luò)特征：網(wǎng)絡(luò)運(yùn)行正常，在入侵掃描試探階段主機(jī)會(huì)發(fā)出日志認(rèn)證失敗的告警信息，并指出試圖入侵的IP地址。

識(shí)別定位過程：檢查SYSLOG的日志信息→識(shí)別發(fā)起入侵企圖的主機(jī)的IP地址。

7 小結(jié)

以上校園網(wǎng)常見網(wǎng)絡(luò)行為，對(duì)網(wǎng)絡(luò)的性能和安全均產(chǎn)生很大的影響，雖然它們的原理和手段不盡相同，但都具有相似的DoS行為特征，即對(duì)網(wǎng)絡(luò)設(shè)備的CPU利用率、端口的包轉(zhuǎn)發(fā)率、網(wǎng)絡(luò)帶寬利用率、網(wǎng)絡(luò)連接分布等參數(shù)產(chǎn)生重大影響，消耗網(wǎng)絡(luò)設(shè)備的資源，從而威脅網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，是對(duì)網(wǎng)絡(luò)安全和性能有較大影響的不良網(wǎng)絡(luò)行為。我們應(yīng)根據(jù)其行為特征及時(shí)定位攻擊行為的發(fā)起者，并制止其網(wǎng)絡(luò)行為對(duì)網(wǎng)絡(luò)安全和性能的影響，規(guī)范用戶的網(wǎng)絡(luò)行為，是保證校園網(wǎng)安全、穩(wěn)定運(yùn)行最有效的途徑。

[1]Arp定義.http://www.360doc.com/content/10/0705/16/1732747_37056008.shtml.

[2]dos攻擊.http://baike.baidu.com/view/209571.htm.

[3]又是計(jì)算機(jī)蠕蟲病毒.網(wǎng)易博客.http://blog.163.com/showay@126/blog/static/6358924020098304268921.

[4]李振華.P2P基礎(chǔ)知識(shí)簡(jiǎn)介.北京大學(xué)計(jì)算機(jī)系網(wǎng)絡(luò)所 P2P組.http://baike.baidu.com/view/3280.htm.

[5]Wendell Odom，Cisco CCNA Exam #640-607 Certification Guide.人民郵電出版社.2003.

[6]tuart Mcclure，Joel Scambray，George Kurtz 著，鐘向群譯.黑客大曝光:網(wǎng)絡(luò)安全機(jī)密與解決方案（第6版）.清華大學(xué)出版社.2010.