《防火墙技术》由会员分享,可在线阅读,更多相关《防火墙技术(82页珍藏版)》请在金锄头文库上搜索。
1、防火墙相关知识防火墙相关知识议程议程防火墙概述定义架构主流技术防火墙功能以及其实现可以依赖防火墙的不可以依赖防火墙的总结防火墙概述防火墙概述安全产品的形象比喻安全产品的形象比喻安全运输安全运输安全运输安全运输读卡器读卡器读卡器读卡器闭路电视监控室闭路电视监控室闭路电视监控室闭路电视监控室进入系统的安全门进入系统的安全门进入系统的安全门进入系统的安全门监视和报警监视和报警监视和报警监视和报警巡逻保安巡逻保安巡逻保安巡逻保安防火墙和路由器访问控制列表防火墙和路由器访问控制列表防火墙和路由器访问控制列表防火墙和路由器访问控制列表网络入侵检测网络入侵检测网络入侵检测网络入侵检测安全代理程序安全代理程序
2、安全代理程序安全代理程序中央控制的安全和策略管理中央控制的安全和策略管理中央控制的安全和策略管理中央控制的安全和策略管理身份识别、身份识别、身份识别、身份识别、AAAAAA认证、访问控认证、访问控认证、访问控认证、访问控制服务器及证书验证制服务器及证书验证制服务器及证书验证制服务器及证书验证加密及虚拟专网加密及虚拟专网加密及虚拟专网加密及虚拟专网 (VPN)(VPN)防火墙知识防火墙知识定义:防火墙应当是两个或多个网络之间信息必须流经的节流单点,流经数据应可被控制、记录(认证)来源建筑词汇,用于限制(潜在的)火灾在建筑内部的蔓延,后被引申至信息安全领域中访问控制、边界整合类的middlebox
3、产品1988年Digital Equipment Corporation (DEC) 开发出了第一款防火墙:SEAL(Secure External Access Link)摘自摘自http:/en.wikipedia.org/wiki/Firewall_(networking)防火墙文化防火墙文化一段台词“ -John, lets feed it a tapeworm. -Nah, its too risky. It might smash the system. -Howd the kid get inthrough the back door? -We took it out. -Can
4、 we invade the deep logic? -We keep hitting a damn firewall.”取自电影wargame(1983)防火墙需求的产生防火墙需求的产生操作系统和应用安全问题溢出蠕虫安全策略执行全局安全策略的一部分信息泄漏防止企业敏感信息外泄审计辅助系统、入侵检测日志阻止信息访问CHIPA:Childrens Internet Protection Act通用基础架构通用基础架构防火墙区域信任区非信任区DMZ防火墙实现应用层传输层网络层数据链路层防火墙硬件平台防火墙硬件平台X86平台灵活开发,投资少,周期短,无法满足高速环境NP架构灵活性适中,转发性能好AS
5、IC架构开发投资大,周期长,性能好,升级难防火墙工作模式防火墙工作模式包过滤防火墙路由器实现包过滤功能应用层网关内、外网的“中间人”基于状态监测的包过滤防火墙主流技术物理层数据链路层网络层应用层防火墙状态监测包过滤包过滤防火墙包过滤防火墙包过滤防火墙对含有IP地址(源、目的)、端口号(源、目的)、协议类型等内容的包头进行检测典型产品:路由器优点高效对用户透明缺点检测不考虑数据内容、会话连接物理层数据链路层网络层包过滤包过滤包过滤包过滤信息数据包的头信息 (源地址、目的地址、协议、源端口、目的端口、包长度)到达防火墙的哪一个接口上,从防火墙的哪一个接口上出去传输层头部选项和标志位数据包到达的日期
6、和时间主要威胁主要威胁IP欺骗在数据包包头中插入虚假源地址,以使该数据包看似发自受信源解决方法:确定数据包并非来自包头指示位置IP源路由选项允许数据包源的用户指定通向某一目的地的路径多用于排错同样被利用与伪造受信源地址路由器检测异常流量路由器检测异常流量路由器对数据包进行标识,阻塞URL和字节数匹配 访问列表,策略路由.Router(config)#classmap matchany httphacksRouter(configcmap)#match protocol http url *cmd.exe*Router(configcmap)#match protocol http url *r
7、oot.exe*“Router(config)#policymap markinboundhttphacksRouter(configpmap)#class httphacksRouter(configpmap)#set ip dscp 1Router(config)#interface ethernet 0/0Router(configif)#servicepolicy input markinboundhttphacksmatch-any,进行或(满足任一),定义流类型如何处理URL关键字match packet length min 404 max 404字节数阻塞阻塞基于应用访问列表R
8、outer(config)#accesslist 105 deny ip any any dscp 1 logRouter(config)#accesslist 105 permit ip any anyRouter(config)#interface ethernet 0/1Router(configif)#ip accessgroup 105 out基于策略Router(config)#policymap dropinboundhttphacksRouter(configpmap)#class httphacksRouter(configpmap)#police 1000000 31250
9、 31250 conformaction drop exceedaction drop violate-action drop Router(config)#interface ethernet 0/0Router(configif)#servicepolicy input dropinboundhttphacksCode Red Code Red 阻塞阻塞基于策略路由Router(config)#accesslist 106 permit ip any any dscp 1Router(config)#routemap null_policy_route 10Router(config-rm
10、ap)#match ip address 106Router(config-rmap)#set interface Null0Router(config)#interface ethernet 0/0Router(configif)#ip policy routemap null_policy_route应用层防火墙应用层防火墙应用层防火墙运行在网络和服务器之间的应用层网关典型产品:ISA优点提供7层及以下层面防护缺点可能造成服务瓶颈物理层数据链路层网络层应用层防火墙状态监测防火墙状态监测防火墙基于状态监测的包过滤防火墙由Check Point提出根据其协议以及连接状态对穿过防火墙的数据进行检
11、测,可以追踪和控制会话流优点高效完善的审计、日志功能缺点缺乏应用层检测物理层数据链路层网络层状态监测会话流会话流R o u t e r # s h o w i p c a c h e f l o w | i n c l u d e 0 0 5 0.scram scrappers dative DstIPaddress Pr SrcP DstP PktsVl1 193.23.45.35 Vl3 2.34.56.12 06 0F9F 0050 2Vl1 211.101.189.208 Null 158.36.179.59 06 0457 0050 1Vl1 193.23.45.35 Vl3 34.
12、56.233.233 06 3000 0050 1Vl1 61.146.138.212 Null 158.36.175.45 06 B301 0050 1Vl1 193.23.45.35 Vl3 98.64.167.174 06 0EED 0050 1Vl1 202.96.242.110 Null 158.36.171.82 06 0E71 0050 1Vl1 193.23.45.35 Vl3 123.231.23.45 06 121F 0050 1Vl1 193.23.45.35 Vl3 9.54.33.121 06 1000 0050 1Vl1 193.23.45.35 Vl3 78.12
13、4.65.32 06 09B6 0050 1Vl1 24.180.26.253 Null 158.36.179.166 06 1132 0050 1会话流(flow)通过分析流入/流出网络的流,对通信会话/应用信息作出实时的安全判断状态监测状态监测状态和上下文信息数据包的头信息 (源地址、目的地址、协议、源端口、目的端口、包长度)连接状态信息 (哪一个连接打开了哪一个端口)TCP 和 IP 分段数据 (例如:分段号、顺序号)数据包重组、应用类型、上下文校验 (即:包属于哪个通讯会话session)到达防火墙的哪一个接口上,从防火墙的哪一个接口上出去第二层信息 (如VLAN ID号)数据包到达的
14、日期和时间SYNSYN标记检查标记检查禁用了SYN标记检查启用了SYN标记检查防火墙功能以及其实现防火墙功能以及其实现我们可以依赖防火墙我们不可以依赖防火墙我们可以依赖防火墙我们不可以依赖防火墙防火墙所具备的防火墙所具备的访问控制攻击检测和防御传输安全(VPN)路由地址转换用户认证可用性提高攻击检测与防御传输安全路由用户认证可用性提高访问控制访问控制访问控制访问控制机制自主访问控制主体访问控制:特权、口令客体访问控制:ACL、ACE强制访问控制(MAC)防火墙以其阻塞点的身份实现监视和控制服务控制:确定哪些服务可以被访问方向控制:对于特定的服务,可以确定允许哪个方向能够通过防火墙用户控制:根据
15、用户来控制对服务的访问行为控制:控制一个特定的服务的行为访问控制与审核访问控制与审核防火墙对进/出流量的记录可作为审核入侵检测系统、系统日志有效的补充身份认证-访问控制-审核入侵检测系统以事件为主导系统日志以行为为主导注意事项时区时滞攻击检测和防御攻击检测和防御攻击检测和防御踩点防御拒绝服务攻击防御内容监控与过滤深度检测(DPI)踩点防御踩点防御踩点:为更有效、更隐蔽的进行攻击所实施的工作常见踩点收集信息公开域信息(google hacking,whois)扫描信息存活性扫描端口扫描(TCP,UDP,RPC)Banner grabbing漏洞扫描OS fingerprint社交工程存活性扫描端
16、口扫描漏洞扫描OS识别扫描流程主机存活扫描技术主机存活扫描技术主机扫描的目的是确定在目标网络上的主机是否可达。这是信息收集的初级阶段,其效果直接影响到后续的扫描。常用的传统扫描手段有:ICMP Echo扫描ICMP Sweep扫描Broadcast ICMP扫描Non-Echo ICMP扫描规避技术规避技术为到达规避防火墙和入侵检测设备的目的, ICMP协议提供网络间传送错误信息的功能也成为了主要的扫非常规描手段错误的数据分片:发送错误的分片(如某些分片丢失)通过超长包探测内部路由器:超过目标系统所在路由器的PMTU且设置禁止分片标志端口扫描技术端口扫描技术端口的一些概念用以从网络层映射至进程
17、0-1024为知名端口常见端口扫描技术TCP利用TCP报头的6个标志位扫描方式:SYN,ACK,FIN,NULL,XmasUDP利用UDP端口关闭时返回的ICMP信息扫描方式:Traceroute扫描中常见的几种状态:open、close、filter服务及系统指纹服务及系统指纹如何判断服务?端口:只用于粗略判断启动的服务Banner:一般可用于确定服务版本信息指纹:基本可以精确至小版本号Banner grabBanner grab技术技术为判断服务类型、应用版本、OS平台,模拟各种协议初始化握手,获取信息在安全意识普遍提升的今天, 对Banner的伪装导致精度大幅降低WWW服务威胁程度:高判
18、定精度:低FTP服务威胁程度:高判定精度:低Telnet服务威胁程度:中判定精度:低指纹堆栈技术指纹堆栈技术类似Banner Grabing,但是精度更高常见的可判断的fingerprintOS fingerprintHTTP fingerprint系统、应用应尽可能结合起来,进行综合判断HTTP FingerprintingHTTP Fingerprinting技术技术技术源动力:弥补Banner Grabing 技术的不足传统查看Banner的方式精确度很差,伪装手段多样IIS&Apache:修改存放Banner信息的文件字段进行修改Servermask伪造多种主流Web服务器Banner
19、伪造Http应答头信息里的项的序列使用前后使用前后$ nc 192.168.7.247 80HEAD / HTTP/1.0HTTP/1.1 200 OKServer: Microsoft-IIS/5.0Content-Location: http:/192.168.7.247/Default.htmDate: Fri, 01 Jan 1999 20:09:05 GMTContent-Type: text/htmlAccept-Ranges: bytesLast-Modified: Fri, 01 Jan 1999 20:09:05 GMTETag: W/e0d362a4c335be1:ae0C
20、ontent-Length: 133$ nc 192.168.7.247 80HEAD / HTTP/1.0HTTP/1.1 200 OKDate: Fri, 01 Jan 1999 20:06:24 GMTServer: Apache/1.3.19 (Unix) (Red-Hat/Linux) mod_ssl/2.8.1 OpenSSL/0.9.6 DAV/1.0.2 PHP/4.0.4pl1 mod_perl/1.24_01Content-Location: http:/192.168.7.247/Default.htmLast-Modified: Fri, 01 Jan 1999 20:
21、06:24 GMTETag: W/e0d362a4c335be1:ae0Accept-Ranges: bytesContent-Length: 133Content-Type: text/html使用前使用后理论基础理论基础协议行为利用不同服务器对HTTP协议的实现差异测试正常请求: HEAD / HTTP/1.0异常操作: DELETE / HTTP/1.0异常版本: GET / HTTP/3.0异常协议: GET / JUNK/1.0服务器服务器序列序列DELETE 方式方式异常异常 HTTP 版本版本异常协议异常协议Apache/1.3.23Date, Server405400200Mi
22、crosoft-IIS/5.0Server, Date403200400Netscape-Enterprise/4.1Server, Date401505no header相关资料相关资料工具Httpreconhttp:/putec.ch/projekte/httprecon/Httprinthttp:/net- fingerprintOS fingerprint技术技术TCP指纹识别技术被动识别技术利用对报头内DF位,TOS位,窗口大小,TTL的嗅探判断OS扫描工具: Siphon,天眼主动识别技术扫描工具:nmap -OICMP指纹识别技术Ofir Arkin最早提出,其优势是迅速,准确,
23、只需很少的通信量扫描工具: Xprobe最简单的指纹最简单的指纹你能区分节点192.168.1.10和节点192.168.10.54分别是什么操作系统吗?主动指纹识别主动指纹识别TSeq(Class=RI%gcd=6%SI=DF1)T1(DF=Y%W=2297|2788|4431|8371|8F4D|ABCD|FFF7|FFFF|2297|212%ACK=S+%Flags=AS%Ops=NNTNWME)T2(DF=N%W=0%ACK=O%Flags=R%Ops=WNMETL)T3(Resp=N)T4(DF=Y|N%W=0%ACK=O%Flags=R%Ops=|WNMETL)T5(DF=Y%W=
24、0%ACK=S+%Flags=AR%Ops=)T6(DF=Y|N%W=0%ACK=O|S%Flags=AR|R%Ops=|WNMETL)T7(DF=Y|N%W=0%ACK=S|O%Flags=AR|R%Ops=|WNMETL)PU(DF=Y%TOS=0%IPLEN=70%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F|F|E%ULEN=134%DAT=E)Fingerprint Solaris 2.6 - 2.7ICMPICMP指纹识别技术指纹识别技术拒绝服务攻击防御中国成为全球DoS攻击第二大目标 在2007年前三季度,中国拥有全球最多的僵尸主机,而北京成为感染僵尸主机最
25、多的城市,约占全世界僵尸主机数量的7%DDOS攻击产生背景宽带业务的发展提供了大量高带宽、高性能、安全防护差的主机出现了网络讹诈、DDoS“雇佣军”、BotNet租赁等直接获利手段DDoS成本逐年下降TCP协议栈的安全缺陷TCP/IP协议栈易受到安全威胁的特性IP缺陷IP欺骗数据包分片数据包篡改广播和多播ARP(RARP)缺陷ARP更新TCP缺陷TCP序列号预测摘自:第20次中国互联网络发展状况统计报告什么是什么是DDoSDDoSDDoS概念( Distributed Denial of Service)服务( Service)系统提供从而为用户服务的功能拒绝服务( Denial of Ser
26、vice )任何对服务的干扰从而使其可用性降低乃至失去可用性的行为TCP/IP协议栈的无偏差传送数据的特性为拒绝服务提供了可能性如何找到并且利用系统瓶颈成为了关键(木桶原理)分布式拒绝服务攻击( Distributed Denial of Service)一个或多个攻击者控制处于不同位置的多台机器同时对攻击者实施攻击行为拒绝服务攻击现象拒绝服务攻击现象拒绝服务攻击可能出现在从物理层至应用层中的任意一层攻击者正常用户受害者设备损坏、服务中止、资源消耗物理破坏漏洞攻击僵尸网络资源消耗远程控制傀儡机远程控制资源消耗资源消耗资源消耗无法正常访问WinNuke碎片攻击Land攻击PingofDeath堆
27、栈突破型(利用主机/设备漏洞)SYNFloodACKFloodICMPFloodUDPDNSQueryFloodConnectionFloodHTTPGetFlood资源消耗型(利用网络通讯协议)攻击类型划分受害者WinNuke攻击攻击者攻击原理利用漏洞Windows系统TCP/IPOOB带外紧急数据拒绝服务攻击漏洞影响系统WindowsNT3.5Windows95攻击效果攻击端口通常为139被攻击服务器蓝屏变种攻击WinNuke2Pnuke防护方法防火墙过滤打补丁URG=1WinNuke攻击碎片攻击(TearDrop)攻击原理利用漏洞Windows/Linux系统内核碎片重组远程拒绝服务攻击
28、漏洞影响系统Linux(1.x-2.0x)WindowsNT/95攻击效果堆栈损坏系统挂起攻击工具TearDrop、Bonk防护方法防火墙过滤打补丁碎片攻击(TearDrop)150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=120150Byte分片120Byte30Byte120Byte30Byte偏移1=0偏移2=80X=(偏移2+包长2)-包长1=?重组重组XX碎片攻击(PingofDeath)攻击原理利用漏洞路由器、操作系统的ICMPBug攻击效果内存分配错误TCP/IP堆栈崩溃攻击工具Ssping、jolt、IceNewk等防护方法防火墙过滤系统
29、升级http:/insecure.org/sploits/ping-o-death.html65510Byte8Byte20ByteIP包头ICMP包头ICMP数据OS版本版本现象现象AIX3、4宕机WIN 95全部宕机Solaris (x86)2.4重启DEC Unix2.0 and above内核异常HP-UX 9.0 -10.20重启、宕机LinuxPRIVMSG#rbot.loginpasswordsnPRIVMSG#rbot:passwordacceptedn 基于IRC的Botnet工作原理 防火墙策略防火墙策略基于剧毒包攻击对异常IP包头、TCP包头进行基于误用的过滤基于资源消耗
30、型攻击对会话源、目的进行会话限制设立触发防护机制阈值主动调整会话时间(TCP、UDP、HTTP)设立调整时间启动时会话表容量百分比(80%)设立调整时间停止时会话表容量百分比(70%)设立减少的超时时间(40秒)内容监控与过滤内容监控与过滤应用层防护支持常见协议基于误用的自定义规则大都支持碎片重组URL过滤利用黑名单、白名单、自定义区分URL对网页挂马、钓鱼网站有很好的效果深度检测深度检测Deep packet inspection检测对象:数据 and/or 头部可解决协议异常、病毒、垃圾邮件、ActiveX控件等恶意行为传输安全(传输安全(VPNVPN)VPN技术防火墙提供Site to
31、Site式VPN保证数据完整性和机密性传统数据包校验技术只保障传输隧道技术(封装)2层:PPTP、L2F、L2TP3层:AH和ESP隧道(Ipsec)Ipsec一系列技术的集合AH:验证数据源、保障数据完整性、防重播ESP:除AH功能外,保障数据机密其他功能其他功能路由地址转换(NAT)用户认证防火墙自身也是操作系统,操作系统层面的安全性问题将被完全复制认证最小权限审核可用性提高我们可以依赖防火墙我们不可以依赖防火墙防火墙所不具备的防火墙所不具备的应用层检测主要是对Web应用程序语言检测不透彻SQL注入跨站脚本(XSS)解决方式:对Web应用提交数据充分分析大规模拒绝服务攻击下力度适中的检测和
32、防护基于特征和异常的检测强度过高解决方案:基于Flow技术的异常流量检测信任区域内部的恶意行为解决方案:深度防御应用层检测应用层检测应用入侵用户的需求越来越复杂,越来越多动态生成的内容根据客户端用户的设置和需要被生成,从而衍生出了多样的攻击手法传统安全设备对于应用层面的检测始终存在盲区应用开发人员面对越来越庞大的代码很难兼顾可用性和安全性面向互联网应用成为主要渗透途径http:/www.owasp.org/TopTenOWASPOWASP提供的提供的Top TenTop TenOWASPTopTen2004A1:未被验证的输入A2:错误的访问控制A3:错误的认证和会话管理A4:跨站脚本A5:缓
33、冲溢出A6:注入式漏洞A7:不适当的的异常处理A8:不安全的存储A9:拒绝服务A10:不安全的配置管理OWASPTopTen2007A1:跨站脚本A2:注入式漏洞A3:恶意文件执行A4:不安全的对象参考A5:跨站请求伪造A6:信息泄露和操作不当A7:错误的认证和会话管理A8:不安全的密码存储A9:不安全的通信A10:URL访问限制失败应用层数据提交产生的威胁系统层网络层物理层WEBWEB Server/Code权限权限/配置配置数据提交数据提交身份验证身份验证补丁补丁/认证认证cookieuploadSQL injectionXSSINCLUDE应用层注入式漏洞系统层网络层物理层WEBWEB
34、Server/Code数据提交数据提交SQL Injectionhttp:/ and select * from adminTIPS两个注入提交点:两个注入提交点:1. URL2. COOKIE(危险)(危险)阻断阻断注入式漏洞注入式漏洞典型注入问题:SQL, LDAP, XPath, XSLT, HTML, XML, OS command名词解释SQL注入:Web应用在访问外部系统的时候会传递参数,如果攻击者可以将恶意代码嵌入参数中,外部系统可能以web应用的身份执行这些命令,从而改变预期结果如果用户输入为abc,则SQL语句:select * from sqltest where name
35、=abc;如果用户输入变为abc;drop table sqltest-则语句变为select * from sqltest where name=abc;drop table sqltest-威胁获取敏感信息执行系统命令应用层跨站脚本攻击系统层网络层物理层WEBWEB Server/Code数据提交数据提交XSSalert(“XSS”)URLInputTextareaCSS. 阻断阻断跨站脚本攻击跨站脚本攻击名词解释利用客户端对服务端的信任关系以及CGI程序缺乏对用户提交的变量中的HTML代码进行过滤或转换,从而达到脚本注入的目的三个类型:反射注入、存贮注入和DOM注入http:/ha.ck
36、ers.org/xss.html危害显示Cookie屏蔽(伪造)页面信息拒绝服务攻击突破内外网不同的安全设置与其它漏洞结合,修改系统设置,查看系统文件,执行系统命令流量数据能够提供的流量数据能够提供的地域、IP、AS号时间段(分钟、时、月、年)Flag、ToS、包长、应用类型呈现全网、采集器、路由器、端口、用户、流量分析设备的状态信息流量数据透视的视角NetworkPeersRoutersInterfacesProfiles(剖面,侧影)Customers流量和路由数据从这些不同的角度都是可用的数据采集数据采集数据分析数据分析结果呈现结果呈现控制手段控制手段Sinffer侧重分析Payload
37、(主动方式), 无控制层信息(NextHop, AS等)内容监控,行为还原,电子取证,集中管理丢弃封包,带宽限制Sniffer(仅保留包头信息)仅分析Header(主动方式)流量测量,可以用来做分析的信息不够多ACL,流量牵引netflow分析flow record攻击流量,流量分布集中管理ACL,流量牵引sFlow分析flow data攻击流量,流量分布集中管理ACL,流量牵引 SNMP/RMON MIB OID 值(主动方式)曲线,内容有限BGPd分析BGP messages路由变更示意图,BGP消息统计分布,路由数量变更,AS距离的流量分部流量分析的技术手段NetflowNetflow技
38、术技术基本的流量分析和网络计费技术 与其兼容NetstreamJ-flow与其类似Sflow(Foundry、HP)解决关于IP 流量的5W 问题: 谁, 什么, 何地, 何时, 如何7个关键字段的定义只记录入方向穿过和终止在路由器上的流量 router(config-if)#ip route-cache flow sampled input|outputNetflowNetflow采样采样抽样的场合流速大于OC-3 (155M )的环境下(思科推荐)10Gbps 1:50002.5Gbps 1:1000抽样的好处降低CPU利用率不改变流量的统计特性抽样的方法固定包间隔时间周期随机的(根据统计
39、原则推荐使用,支持此方法的平台最多)NetflowNetflow对异常流量的检测对异常流量的检测Flow 在技术上可以提供足够的信息在大流量、集中采集分布流量的环境下,既别无选择,也不负众望详细程度刚好介于包信息和SNMP数据之间,既能提供足够的信息,又适合进行统计分析 什么是异常流量网络层DDoS攻击应用层DDoS蠕虫传播二层攻击P2P流量下载控制层攻击用户自定义访问行为典型异常流量异常名称检测方法(统计方法)SYNFloodTCP-Flag=SYN,包个数=1ICMPFlood协议号=0,目的端口=0,UDPFlood协议号=6,DNSQueryFlood协议号=6或17端口号=53HTT
40、PGETFlood目的端口号=80,8000,8080,449,垃圾邮件在给定的时间间隔内,某个主机端口25的连接请求超过正常值CodeRedWorm目的端口=80,协议类型=TCP,包数=3,字节数=1442003蠕虫王目的端口=1434,协议类型=UDP,字节数=404冲击波目的端口=135,协议类型=TCP,字节数=48振荡波目的端口=445,协议类型=TCP,字节数=48其他异常流量监测ICMPRequest/Reply因扫描等行为导致请求报文和应答报文的比值上升平均包大小的分析因扫描等行为导致平均报文长度产生较大变化相似度分析发现那些并不引起总流量显著变化,但对某一目标主机和目标主机网络产生巨大影响的攻击行为
