超级会员免费看
Ourmon:网络管理与僵尸网络检测利器
1. 引言
在网络环境中,僵尸网络的检测一直是个难题。不过,近期有一款名为Ourmon的工具经过改进,可通过网络流量分析来检测僵尸网络的存在。Ourmon原本用于网络监控,后来发现它也是一款基于异常的工具,能检测网络异常,还能关联IRC通道信息,判断其是否可疑,从而一次性找出受感染的主机。下面我们先通过几个实际案例来初步了解Ourmon的应用,再深入探讨它的工作原理和安装方法。
2. 案例研究
2.1 DDoS(分布式拒绝服务)攻击案例
Ourmon使用基于Tobias Oetiker的RRDtool系统的图形。其中,“pkts过滤器”图形能显示Ourmon系统每秒处理的数据包数量(pps),还能显示操作系统和Ourmon收集系统是否丢包。正常情况下,PSU的网络流量在下午早些时候会达到60k pps的峰值,如图1所示:
图1:正常流量 - Pkts过滤器
但在DDoS攻击时,该图形会出现异常。如图2所示,原本每天60,000 pps的峰值,在攻击期间短暂达到了870,000 pps,接近千兆以太网连接64字节数据包的理论最大处理量。这是因为校外人员使用僵尸网络对校内学生的IP主机(端口22,即ssh端口)发动了多系统大规模DoS攻击,导致网络服务受损,Ourmon在攻击期间也几乎停止工作。
订阅专栏 解锁全文
扫一扫
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
