通过流量监控系统数据分析校园网异常流量

2010-10-24 09:26王凌艳
和田师范专科学校学报 2010年6期
关键词:蠕虫网络管理示意图

王凌艳

(兰州职业技术学院网络管理中心 甘肃兰州 730060)

通过流量监控系统数据分析校园网异常流量

王凌艳

(兰州职业技术学院网络管理中心 甘肃兰州 730060)

随着网络规模不断扩大,网络设备种类越来越繁多,网络管理的难度大大增加。流量监控系统虽然可以帮助网络管理人员随时随地观察网络运行情况,但是作为网络的管理者,必须对异常流量进行分析,正确判断异常流量产生的原因,准确及时地判断造成网络流量异常的原因并加以解决,保证网络的正常运行。

异常流量;校园网;病毒攻击;P2P

随着信息高科技的飞速发展,网络在居民日常生活中占有的地位在不断提高,可以说网络已经渗透到生活中的每一个角落,为大家提供了诸多的方便,使我们越来越依赖于网络。但是随着网络规模不断扩大、不同的人群对网络的需求差异,以及近年来,种类越来越繁多的网络设备,都大大增加了网络管理的难度,流量监控系统可以帮助网络管理人员随时随地观察网络运行情况。

但是作为网络的管理者,仅仅知道网络运行是否正常是远远不够的。在监测到异常流量时,网络管理人员必须对这些异常流量进行分析,正确判断异常流量产生的原因,准确及时地判断造成网络流量异常的原因并加以解决,是保证网络正常运行的关键。

异常流量,顾名思义,就是指影响网络正常运行的流量。它包括了网络病毒、恶意攻击、网络扫描造成的大量连接请求等等。根据异常流量的产生原因不同,我们将异常流量划分为,非正常使用造成的异常流量,如:受到病毒攻击等;和正常使用造成的异常流量,如:过渡频繁使用P2P下载工具等。下面对这些不同原因造成的异常流量分别进行分析。

一、非正常使用造成的异常流量

非正常使用造成的异常流量具体可以分为以下几类:

1.1 校园网内的Dos/DDos攻击。Dos(Denial of Service)拒绝服务攻击,就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应,其攻击的方法有很多,最基本的过程是:首先攻击者向服务器发送众多的带有虚假地址的请求(如通过SYN要求建立TCP连接等),服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送虚假地址请求的情况下,服务器资源不断被占用,短时间内又得不到释放,从而最终会被全部占用。

一般而言,这种攻击是以一对一的方式实现的,就是有一台机器对某一个特定主机发起攻击,当受攻击的主机自身性能不强时,效果才会显现。因此,又出现了DDOS攻击。

DDoS(Distributed Denial of Service)分布式拒绝服务攻击,是一种基于Dos的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。它的工作原理也比较简单,主要是利用多台主机同时向一台特定主机发起进攻。以比Dos更大的规模来进攻目标主机,当攻击能力高于受攻击主机的处理能力时,效果就会显露。这样洪水般大规模的攻击难以防备,如果受到攻击的目标主机是服务器,则有可能对网络的使用造成很大的影响。

具体到校园内,主要有两种可能:一是校内学生出于好奇运用网络攻击软件有意攻击校内服务器,二是网内用户不当使用网络资源,被别人捕捉成为被攻击对象,从而占用大量带宽造成网络拥塞。

1.2 蠕虫病毒对校园网络的影响

蠕虫病毒(Worm)是计算机病毒的一种,通过分布式网络来扩散特定的信息或错误,进而造成网络服务器遭到拒绝并发生死锁。网络蠕虫与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,它是一种独立智能程序,是一种有着智能化、自动化、信息加密和变异形式多样等鲜明特点的计算机病毒,它是不需要计算机使用者操作即可自动运行的攻击程序或代码。它会自动扫描和攻击网络上存在系统漏洞的节点主机,通过校园网或者国际互联网从一个节点传播到另外一个节点。

蠕虫病毒与一般计算机病毒相比,有以下特点:

(1)传播速度快。蠕虫病毒的传播速度惊人,传播速度最快的蠕虫病毒可以在几分钟之内传遍全球,蠕虫病毒一旦侵入计算机网络,可以导致计算机网络效率急剧下降、系统资源遭到严重破坏,短时间内造成网络系统的瘫痪。

(2)危害性大。蠕虫病毒不仅可以对被感染的主机造成数据丢失,占用被感染主机的资源使系统无法正常运行等破坏,还会抢占网络带宽,造成网络阻塞。是目前公认大危害性病毒

(3)独立性强。很多病毒必须感染一个文件,借以生存,而蠕虫病毒则不需宿主程序,它是一种可以自己独立复制的程序。

(4)具有主动攻击性。一般计算机病毒在感染某个文件或软件后,必须在用户使用被感染文件或软件后,病毒才能发动攻击;而蠕虫病毒基本不需要人为干预就能发挥攻击的能力。

(5)传播途径广泛。蠕虫病毒不但可以通过U盘、移动硬盘等移动存储设备传播,还可以直接通过网络进行传播。目前危害比较大的蠕虫病毒主要通过三种途径传播:系统漏洞、聊天软件和电子邮件。

基于上述特点,蠕虫病毒对校园网主要有两方面的影响:一是校内学生用户安全意识不强,容易在无意识情况下感染病毒;二是感染病毒,将会短时间内大量复制并不断发送给其余网内计算机,造成校园网络的拥塞对校内教学、科研等网络应用造成极大影响。

二、正常使用P2P工具造成的异常流量分析

有一部分流量虽然本身并非病毒或恶意攻击引起的,但它同样能够影响网络的正常运行。这部分流量同样也属于异常流量范畴。一些网络扫描工具产生的大量TCP连接请求,或对某网段内的特定端口的UDP扫描等,这些正常使用而造成的异常流量很容易使一个性能不高的网络设备瘫痪。另外有一部分流量虽然本身并非病毒或恶意攻击引起的,但它同样能够影响网络的正常运行。这部分流量同样也属于异常流量范畴。

P2P技术并不是新的技术,而是一种新的应用技术模式,是在Internet上实施网络计算的一种新的计算模型。在这种网络中所有的节点是对等的(称为对等节点),各节点具有相同的责任与能力并协同完成任务。对等节点之间可以直接互连,进行信息资源共享、占用存储资源以及高速缓存资源等,不再需要依赖集中式服务器的支持就可以完成这些活动。

由于P2P技术的广泛引用,校园网流量监控示意图表现出异常流量形态,通常在大量广泛使用P2P工具时,也有可能会引起网络的拥塞,因而我们容易将这种异常现象误认为是有接入网络的计算机感染了病毒所导致的,这个时候就需要我们网络管理人员仔细分析流量监控示意图。

病毒感染后的流量示意图和大量使用P2P工具后形成的流量示意图是有区别的,区别如下图:

注释:最大流入62.7Mb/s(62.7%),最大流出35.4Mb/s(35.4%),蓝色折线表示出流量,绿色阴影表示入流量。

图1 病毒感染后的流量示意图

图2 大量使用P2P工具后的流量示意图

综上所述,无论是正常使用还是非正常使用造成的异常流量对网络都是有影响的,具体体现在两个方面:第一,占用大量带宽资源,使网络拥塞,丢包、时延增大,影响网络用户的使用,严重的可能造成网络瘫痪;第二,占用网络设备的系统资源(CPU、内存等),使网络不能提供正常的服务。

三、小结

面对异常流量可能造成的影响,我们必须实时监测流量,不同情况的异常流量,其流量表征也不同,一旦监测到异常流量,就必须首先分析是哪一类异常流量,然后用不同的手段加以解决,如:通过防火墙上的过滤、流量限定,或者切断连接等手段,防止其对网络资源、设备系统资源造成危害。

[1]陈建华,黄道颖,张尧等.计算机对等网络P2P技术[J].计算工程与应用,2003.

[2]李江涛,姜永玲.P2P流量识别与管理技术[J].电信科学,2005.

[3]刘晟,李玲.网络蠕虫分析与检测防御[J].现代计算机,2005.

[4]石磊.网络流量分析与资源优化[D].山东大学:计算机技术,2008.

[5]谢金星,邢文训.网络优化[M].清华大学出版社,2000.

王凌艳(1980-),女,甘肃省天水人,兰州职业技术学院网络管理中心教师。

2010-09-13

猜你喜欢
蠕虫网络管理示意图
蠕虫状MoS2/C的制备及其在锂离子电池负极材料中的应用
先画示意图再解答问题
黔西南州旅游示意图
秋季谨防家禽蠕虫病
电动汽车充电服务网络管理初探
基于EOC通道的SHDSL网络管理技术
青海海晏县牛羊寄生蠕虫种调查与防治
两张图读懂“青年之声”
基于隔离和免疫的蠕虫传播模型及稳定性分析
校园网络管理及安全防护