ISP`s IT Аутсорсинг
Быстрый переход: Главная блога Главная сайта Форум
Если Вы чего то недопоняли или не нашли - задайте
вопрос на нашем форуме и мы попробуем Вам помочь.
Subnets.ru Регистрация IP и Автономных систем mega-net.ru

Отправить 'Борьба за "чистый" Интернет' другу по e-mail

Отправить другу по Email копию 'Борьба за "чистый" Интернет'

* Required Field







E-Mail Image Verification

Loading ... Loading ...

Ничего не понялТак себе...Не плохоДовольно интересноОтлично ! То что нужно ! (голосов: 2, среднее: 3,50 из 5)
Загрузка...
Отправить на почту Отправить на почту

комментариев 5

  1. admin сказал:

    >Дальше просто анализируем количество потоков для одного ip адреса.
    показал бы как ты его анализируешь…
    показал бы пример «потока»…

    >если из 1000000 потоков содержится более 10000 одинаковых записей
    кол-во потоков за какой период ? пять минут ? 30 минут ? час ? сутки ?
    в чем именно заключается их одинаковость ? Один и тот же DST_IP + DST_PORT + Размер_пакета ?

    З.Ы. Хотелось бы побольше конкретики и примеров в этой статье.

    16.09.2009, 15:16

  2. zaikini сказал:

    характеристики одинаковых потоков:
    src или dst ip
    протокол
    количество пакетов в потоке (как правило 1 или 2)
    количество передаваемых байт

    Анализируем каждый 1000000 записей, для нас это аналогично каждые 3-5 минут. В сутки один раз проверять я думаю можно, но вовремя среагировать вы не сможете.

    16.09.2009, 15:35

  3. zaikini сказал:

    Пример одинаковости:
    0915.17:39:04.959 221.122.65.234 6000 х.х.32.32 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.9 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.28 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.73 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.7 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.10 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.х.50 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.х.43 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.27 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.21 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.37 2967 6 1 40
    0915.17:39:04.963 221.122.65.234 6000 х.х.32.66 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.70 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.84 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.42 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.41 2967 6 1 40
    0915.17:39:04.967 221.122.65.234 6000 х.х.32.82 2967 6 1 40

    16.09.2009, 16:09

  4. mimir сказал:

    Для этих целей есть готовое решение Arbor PeakFlow SP, правда стоит не малых денег. Ваш случай подходит только для простых атак типа Flood (ICMP,UDP,TCP), а если же bot посылает HTTP GET запросы жертве, при чём делает раз в несколько секунд, то такой метод не подойдёт. К тому же чем вы собираетесь анализировать потоки пользователей и вести по ним статистику?

    09.06.2010, 08:47

  5. zaikini сказал:

    Анализ сетевого трафика большая задача, здесь описан самый простой механизм обнаружения атак на уровне провайдеров без каких либо дополнительных вливаний средств. Анализируется каждый 1000000 записей в нетфлоу, по результатам тут же отправляется сообщение администраторам и ответственным людям для принятия решения, блокировать или не блокировать и т.п. В любом случае на основании этой информации пользователям отправляется предписание об устранении этой проблемы. И как показывает практика у пользователей действительно есть проблемы в виде всяких троянов, вирусов и прочей гадости.

    17.06.2010, 11:25

Добавить комментарий

Вам следует авторизоваться для размещения комментария.