在這個講座的第三部分，Plixer首席執(zhí)行官Michael Patterson回答了有關攻擊者用來破壞網(wǎng)絡的攻擊策略的9個問題，并且說明了網(wǎng)絡行為分析對于對抗這些攻擊是否有用。

　　1.到底什么是拒絕服務攻擊

　　拒絕服務攻擊是企圖讓一臺計算機的資源無法被其指定用戶使用的攻擊方法。

　　雖然拒絕服務攻擊的手段、動機和目標可能多種多樣，但是，拒絕服務攻擊一般都包括一個人或者若干人的協(xié)調(diào)一致的惡意努力，以阻止一個網(wǎng)站或者服務有效地發(fā)揮功能或者使它們完全失去功能，臨時或者不定期地失去功能。一些被攻破的計算機系統(tǒng)集中起來實施某種拒絕服務攻擊就是僵尸網(wǎng)絡。

　　2.你如何解釋一個僵尸網(wǎng)絡

　　僵尸網(wǎng)絡是一個軟件機器人的集合。這些軟件機器人自主地和自動地運行。它們在攻擊者遠程控制的一些“僵尸”計算機上運行。這也可以指使用分布式計算軟件的計算機的網(wǎng)絡。

　　3.你能解釋一下P2P網(wǎng)絡的DDoS攻擊嗎

　　可以。攻擊者發(fā)現(xiàn)了利用P2P服務器中的許多安全漏洞實施DDoS(分布式拒絕服務攻擊)的一種方法。P2P分布式拒絕服務攻擊中最積極的方法是利用DC++中的安全漏洞。P2P攻擊與基于僵尸網(wǎng)絡的攻擊是不同的。P2P攻擊中沒有僵尸電腦，攻擊者不必與其攻破的客戶機進行溝通。相反，攻擊者能夠像“木偶操縱者”一樣向大型P2P文件共享網(wǎng)絡的客戶機下達指令，并且連接到受害者的網(wǎng)站。因此，數(shù)百臺計算機可能會積極地連接一個目標網(wǎng)站。雖然一個典型的網(wǎng)絡服務器每秒鐘能夠處理幾百個連接，超過一定的數(shù)量才會引起性能下降，但是，大多數(shù)網(wǎng)絡服務器在每秒中處理5千或者6千個連接的時候就會出故障。

　　4.網(wǎng)絡流量分析能夠用來識別蠕蟲傳播嗎

　　不經(jīng)常用于識別蠕蟲傳播。使用病毒特征能夠輕松地識別出傳統(tǒng)的分布式拒絕服務攻擊蠕蟲傳播。一個應用程序使用病毒特征與每一個數(shù)據(jù)包的數(shù)據(jù)字段中的字節(jié)進行比較。在目前的大多數(shù)網(wǎng)絡流量收集環(huán)境中，都沒有這個數(shù)據(jù)字段。

　　思科IOS網(wǎng)絡流量分析基礎設施

　　靈活的網(wǎng)絡流量分析并不多。但是，網(wǎng)絡流量分析確實能夠啟動一個直接緩存，實際捕捉每一個數(shù)據(jù)包的前幾百個字節(jié)。捕捉的數(shù)據(jù)隨后發(fā)送到一個數(shù)據(jù)包分析器或者入侵檢測系統(tǒng)。然而，這種直接緩存的方法也有一個問題：在NetFlow第五版和或者第九版中通常沒有足夠的信息來檢測許多蠕蟲傳播。因此，廠商必須要創(chuàng)造性地處理如何以及何時使用靈活的網(wǎng)絡流量分析工具啟動一個直接的緩存。這個問題仍待解決。

　　下圖是思科IOS Flexible NetFlow的流量監(jiān)視和收集的輸出數(shù)據(jù)

　　5.sFlow的情況如何

　　這個采樣技術(shù)通常設置用來捕捉億臺交換機的每個接口的百分之一或者千分之一的數(shù)據(jù)包。可以設置更詳細的采樣，不過，這樣一來會很快吞沒多數(shù)采集器。由于是采樣的性質(zhì)，一些人認為，對于許多基于IP的網(wǎng)絡行為分析算法來說，sFlow固定地就沒有網(wǎng)絡流量分析那樣有用。有人會建議把sFlow交換機與一個網(wǎng)絡流量探測功能結(jié)合起來以便擴大這個投資。

　　6.如何使用當前的網(wǎng)絡流量分析技術(shù)發(fā)現(xiàn)哪一個端點系統(tǒng)正在緩慢地傳播感染

　　簡言之，最流行的NetFlow第五版提供了TCP標記，對于識別正在進行之中的分布式拒絕服務攻擊是非常有用的。但是，沒有某種類型的流量分析，使用NetFlow軟件緩存僵尸電腦的實際傳播數(shù)據(jù)是很困難的。

　　7.什么是ICP標記

　　這是一個很大的問題。我建議你們閱讀Yiming Gon的文章。

　　總的來說，開始一個正常的TCP連接包含的三次握手包括：

　　·首先，一個客戶將向目標主機發(fā)送一個同步數(shù)據(jù)包

　　·然后，目標主機發(fā)回一個同步/確認數(shù)據(jù)包

　　·客戶機確認目標主機的確認信息

　　·一個連接就建立起來了

　　下面的圖表說明了這個握手過程：

　　例如，讓我們說一個同步數(shù)據(jù)包到達了一臺主機的目標端口。如果這個端口是打開的，這個蠕蟲發(fā)送的同步請求就會得到回應。不管那個端口運行的服務是否有安全漏洞都是如此。然后，標準的TCP三次握手將完成，隨后是攜帶PUSH和ACK等其它TCP標記的數(shù)據(jù)包。

　　使用NetFlow第五版識別分布式拒絕服務攻擊的一個方法是：

　　·搜索收集的流量記錄并且過濾掉只有同步字節(jié)集的全部流量記錄

　　·提取每一個流量記錄的源IP地址

　　·計算每一個獨特的IP地址的出現(xiàn)次數(shù)，然后按照每一個IP地址記錄的次數(shù)排序

　　按照上述流程，將生成一個潛在的合適的列表?？梢愿鶕?jù)網(wǎng)絡規(guī)模和通訊流量設置門限值。超過門限值的主機將被認為是潛在的惡意主機。再說一次，這不是識別分布式拒絕服務攻擊的唯一方法。

　　8. Plixer正在做什么幫助企業(yè)識別惡以行為

　　我們發(fā)布了一個觀察流量方式的流量分析工具。各種流量方式將被積累起來，異常的方式將啟動一個名為CI(擔心指數(shù))的指示器。隨著同一個主機上出現(xiàn)更多的算法，這個擔心指數(shù)將增加。

　　流量分析解屏圖像

　　9.沒有任何東西能夠阻止“風暴蠕蟲”是真的嗎

　　Patterson回答說，從我了解到的情況，目前沒有任何東西能夠檢測到“風暴蠕蟲”的傳播。“風暴蠕蟲”的傳播機制定期變化。它開始的時候是以PDF格式的垃圾郵件的方式傳播，接下來，它的程序員開始使用電子卡和YouTube網(wǎng)站的邀請進行傳播，并且使用最終能夠引誘用戶點擊一個電話鏈接。“風暴蠕蟲”還開始發(fā)布博客評論垃圾郵件，再一次引誘讀者點擊被感染的鏈接。雖然這些手段都是標準的蠕蟲策略，但是，這種情況表明了“風暴蠕蟲”是如何在所有的層次上不斷地變化的。

　　“風暴蠕蟲”包含兩種類型的被感染的主機，“指揮與控制”和“工作者”主機。這些被感染主機都采用BitTorrent等P2P網(wǎng)絡進行溝通，從而提高了跟蹤和關閉的難度。C2(指揮與控制)主機僅僅呆在那里并且等待著，每一個C2主機跟蹤20個工作者主機。這些被感染的主機幾乎不產(chǎn)生通訊流量并且使用“Fast-Flux”躲避檢測的DNS系統(tǒng)避免安全人員的猜測。“風暴蠕蟲”還不斷重新編寫自己的代碼防止被識別出來。沒有人知道如何保持不間斷地識別出這種病毒。“風暴蠕蟲”以一個“root kit”(根工具包)的方式運行，幾乎不使用CPU和內(nèi)存，因此，你很難發(fā)現(xiàn)它。

　　更糟糕的是，如果你發(fā)現(xiàn)某些東西出現(xiàn)了錯誤并且對一個可疑的主機進行安全掃描，這種做法會把你的網(wǎng)絡暴露給僵尸網(wǎng)絡和分布式拒絕服務攻擊!大約有2000萬臺主機被感染，等待著攻擊的指令，沒有人知道如何阻止這種攻擊。識別這種通訊的惟一方法是深入檢查P2P數(shù)據(jù)包。如果那個數(shù)據(jù)包是加密的，可疑程度就提高了。