校园网常见网络行为特征分析的研究

赵瑞刚 黄家林

中南大学信息科学与工程学院 湖南 410083

0 前言

大型校园网络是复杂的，给网络管理增加了不少难度，目前，校园网中对网络安全和性能影响较大的网络行为有：ARP攻击、DoS攻击、蠕虫病毒攻击、P2P、私接网络造成网络拓扑环路，黑客入侵等。下面，将分别对这些网络行为的特征、故障现象、识别定位过程等，进行详尽的分析。

1 RP攻击

1.1 RP攻击类型

ARP攻击主要有两种类型：ARP欺骗和ARP泛洪攻击。

1.2 ARP攻击的网络行为特征

影响参数：网关设备、接入设备的CPU利用率，MAC地址冲突告警；

取证来源：SYSLOG，协议分析；

告警触发条件：C1*1秒CPU利用率+C2 *1分钟CPU利用率+C3*5分钟CPU利用率+C4，其中C1、C2、C3、C4为经验系数。

1.3 ARP攻击的识别过程

1.3.1 ARP欺骗攻击的识别过程

网络特征：网关及接入设备的CPU利用率异常高，接入端口的包转发率在出入方向严重不对称，局域网里丢包现象严重，网关设备会发出日志告警信息，指出冲突的MAC地址。

识别定位过程：发现CPU利用率异常→检查网关的SYSLOG日志信息，识别出发起ARP攻击的主机的MAC地址→从用户数据库中查出对应的IP地址、用户名、接入设备的相关信息（如接入端口、设备型号等）。

1.3.2 ARP泛洪攻击的识别过程

网络特征：网关及接入设备的CPU利用率异常高，接入端口的包转发率在出入方向严重不对称，局域网里丢包现象严重，网关设备不会发出日志告警信息。

识别定位过程：发现CPU利用率异常→在相关VLAN抓包分析ARP广播报文→通过排序识别出发起ARP攻击的主机的MAC、IP地址→从用户数据库中查出对应的用户名、接入设备的相关信息（如接入端口、设备型号等）。

2 DoS攻击

拒绝服务（Denial of Service，DoS），造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。

2.1 DoS攻击主要有两种类型

目标资源匮乏型和网络带宽消耗型。

2.2 DoS攻击的行为特征

影响参数：网络设备的CPU利用率，接入端口带宽利用率及变化率，接入端口的包转发率，网络连接分布特征等。

取证来源：NetFlow，SNMP，协议分析。

告警触发条件：

（1）接入端口带宽利用率急剧变化，然后基本恒定；

（2）接入端口的包转发率急剧上升，出入严重不对称；

（3）网络连接分布特征：多点对一点。

2.3 DoS攻击识别过程

网络特征：端口的带宽占用率单方向异常升高，而且上升斜率很陡，接入设备的CPU利用率异常升高，接入端口的包转发率在出入方向严重不对称，用户觉得网络很慢，从流量信息中可以看到多个IP地址同时向一个IP地址发送数据包。

识别定位过程：端口的带宽占用率单方向异常高，而且上升斜率很陡→检查Netflow流量信息→识别出被攻击主机的IP地址及所用协议和端口等信息→从用户数据库中查出对应的MAC地址、用户名、接入设备的相关信息（如接入端口、设备型号等）。

3 蠕虫病毒攻击

蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。

3.1 蠕虫病毒攻击的识别

蠕虫病毒在攻击时的主要动作有：攻击或消耗主机资源，向其他主机疯狂传播。

3.2 蠕虫病毒攻击的行为特征

影响参数：网络设备的CPU利用率，接入端口带宽利用率及变化率，接入端口的包转发率，网络连接分布特征等。

取证来源：NetFlow，SNMP，协议分析。

告警触发条件：

（1）接入端口带宽利用率急剧变化；

（2）接入端口的包转发率急剧上升，出入严重不对称；

（3）网络连接分布特征：一点对多点。

3.3 蠕虫病毒攻击识别过程

网络特征：接入端口的包转发率在出入方向严重不对称，接入设备的CPU利用率异常升高，局域网里其它主机丢包现象严重，从流量信息中可以看到一个IP地址同时向多个IP地址发送数据包。

识别定位过程：接入端口的包转发率在出入方向严重不对称（端口的带宽占用率可能单方向异常升高，上升斜率很陡）→检查Netflow流量信息→识别出发作主机的IP地址→从用户数据库中查出对应的MAC地址、用户名、接入设备的相关信息（如接入端口、设备型号等）。

4 P2P流量特征

P2P主要依赖于网络中参与者的带宽和计算能力；另外，P2P也是英文Point to Point的缩写，在这里，它是下载术语，意思是在你下载的同时，自己的电脑还要继续做主机上传，这种下载方式，人越多速度越快，但缺点是几乎可以无限制地消耗网络的带宽资源，对网络性能影响极大。

4.1 P2P的行为特征

影响参数：接入端口带宽利用率及变化率，接入端口的包转发率，网络连接分布特征。

取证来源：NetFlow，SNMP，协议分析。

告警触发条件：

（1）接入端口带宽利用率基本恒定，处于高位运行；

（2）接入端口的包转发率出入基本对称；

（3）网络连接分布特征：多点对多点。

4.2 P2P行为的识别过程

网络特征：端口的带宽占用率双向异常高，持续时间长，接入端口的出现拥塞，丢包现象严重，网络设备一般不会发出日志告警信息，单个IP双向并发连接数高。

识别定位过程：检查Netflow流量信息→检查接入设备的端口包转发率→找到双向并发连接数高的单个IP→从用户数据库中查出对应主机的MAC、IP地址、用户名、接入设备的相关信息（如接入端口、设备型号等）。

5 网络拓扑故障

当用户私自接入网络造成环路时，网络中会产生广播风暴，网络将出现瘫痪。

5.1 网络拓扑环路行为特征

影响参数：网络设备的CPU利用率，接入端口带宽利用率及变化率。

取证来源：SYSLOG，SNMP，协议分析。

告警触发条件：

（1）接入端口带宽利用率：带宽利用率急剧变化；

（2）SYSLOG告警信息；

（3）网络设备CPU利用率急剧上升。

5.2 网络拓扑环路的识别过程

网络特征：网络设备的CPU利用率和接入端口的包转发率、接入端口带宽利用率急剧升高，带宽占用率的上升斜率很陡，接入交换机上的所有用户几乎同时不能上网，接入端口的网络设备会发出日志告警信息。

识别定位过程：发现CPU利用率异常→检查SYSLOG的日志信息，找出造成环路的端口→从用户数据库中查出对应的IP地址、用户名、接入设备的相关信息（如接入端口、设备型号等）。

6 入侵网络行为特征

6.1 入侵的行为特征

影响参数：网络连接分布特征。

取证来源：NetFlow，SYSLOG，协议分析。

告警触发条件：

（1）网络连接分布特征：一点（外）对多点（内）（前期扫描）；

（2）多次无效登录企图；

（3）异常的登录时间。

6.2 入侵攻击的识别过程

网络特征：网络运行正常，在入侵扫描试探阶段主机会发出日志认证失败的告警信息，并指出试图入侵的IP地址。

识别定位过程：检查SYSLOG的日志信息→识别发起入侵企图的主机的IP地址。

7 小结

以上校园网常见网络行为，对网络的性能和安全均产生很大的影响，虽然它们的原理和手段不尽相同，但都具有相似的DoS行为特征，即对网络设备的CPU利用率、端口的包转发率、网络带宽利用率、网络连接分布等参数产生重大影响，消耗网络设备的资源，从而威胁网络的稳定运行，是对网络安全和性能有较大影响的不良网络行为。我们应根据其行为特征及时定位攻击行为的发起者，并制止其网络行为对网络安全和性能的影响，规范用户的网络行为，是保证校园网安全、稳定运行最有效的途径。

[1]Arp定义.http://www.360doc.com/content/10/0705/16/1732747_37056008.shtml.

[2]dos攻击.http://baike.baidu.com/view/209571.htm.

[3]又是计算机蠕虫病毒.网易博客.http://blog.163.com/showay@126/blog/static/6358924020098304268921.

[4]李振华.P2P基础知识简介.北京大学计算机系网络所 P2P组.http://baike.baidu.com/view/3280.htm.

[5]Wendell Odom，Cisco CCNA Exam #640-607 Certification Guide.人民邮电出版社.2003.

[6]tuart Mcclure，Joel Scambray，George Kurtz 著，钟向群译.黑客大曝光:网络安全机密与解决方案（第6版）.清华大学出版社.2010.