Отправить 'Борьба за "чистый" Интернет' другу по e-mail
Отправить другу по Email копию 'Борьба за "чистый" Интернет'
Loading ...
Сети, настройка оборудования, сетевые сервисы.
|
|||||||||
Subnets.ru Регистрация IP и Автономных систем mega-net.ru |
Отправить другу по Email копию 'Борьба за "чистый" Интернет'
admin сказал:
>Дальше просто анализируем количество потоков для одного ip адреса.
показал бы как ты его анализируешь…
показал бы пример «потока»…
>если из 1000000 потоков содержится более 10000 одинаковых записей
кол-во потоков за какой период ? пять минут ? 30 минут ? час ? сутки ?
в чем именно заключается их одинаковость ? Один и тот же DST_IP + DST_PORT + Размер_пакета ?
З.Ы. Хотелось бы побольше конкретики и примеров в этой статье.
16.09.2009, 15:16zaikini сказал:
характеристики одинаковых потоков:
src или dst ip
протокол
количество пакетов в потоке (как правило 1 или 2)
количество передаваемых байт
Анализируем каждый 1000000 записей, для нас это аналогично каждые 3-5 минут. В сутки один раз проверять я думаю можно, но вовремя среагировать вы не сможете.
16.09.2009, 15:35zaikini сказал:
Пример одинаковости:
16.09.2009, 16:090915.17:39:04.959 221.122.65.234 6000 х.х.32.32 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.9 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.28 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.73 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.7 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.10 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.х.50 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.х.43 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.27 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.21 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.37 2967 6 1 40
0915.17:39:04.963 221.122.65.234 6000 х.х.32.66 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.70 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.84 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.42 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.41 2967 6 1 40
0915.17:39:04.967 221.122.65.234 6000 х.х.32.82 2967 6 1 40
mimir сказал:
Для этих целей есть готовое решение Arbor PeakFlow SP, правда стоит не малых денег. Ваш случай подходит только для простых атак типа Flood (ICMP,UDP,TCP), а если же bot посылает HTTP GET запросы жертве, при чём делает раз в несколько секунд, то такой метод не подойдёт. К тому же чем вы собираетесь анализировать потоки пользователей и вести по ним статистику?
09.06.2010, 08:47zaikini сказал:
Анализ сетевого трафика большая задача, здесь описан самый простой механизм обнаружения атак на уровне провайдеров без каких либо дополнительных вливаний средств. Анализируется каждый 1000000 записей в нетфлоу, по результатам тут же отправляется сообщение администраторам и ответственным людям для принятия решения, блокировать или не блокировать и т.п. В любом случае на основании этой информации пользователям отправляется предписание об устранении этой проблемы. И как показывает практика у пользователей действительно есть проблемы в виде всяких троянов, вирусов и прочей гадости.
17.06.2010, 11:25