； 路由协议的流关系到网络中所有报文被正确地送往
目的地； 与RADIUS服务器通信的报文流影响用户的安全
性； 这些流的流量异常并不一定导致总流量出现显著的异
常。
本节主要内容
1
异常流量概念
2
链路流量及其异常
3
直接影响网络正常运行的流
4
针对路由协议和设备转发表的攻击
5
与IP报文有关的异常
6
与TCP报文和通信过程相关的异常
链路总流量及其异常
报文长度分布 1、某一长度范围的报文有多少个。 2、一般情况下报文长度分布具有明显的规律。 长报文（1024字节以上）和短报文（<=64字节
） 其他长度的报文很少。 3、某种特定长度的报文数量激增往往是网络异常的
表现。 大量建立连接往往导致线路上瞬时出现大量短报文。
链路总流量及其异常
MF设置为1的IP报文是一个大的IP报文的分片；
偏移字段指出了这个分片在整个IP报文中的位置。例 如，4500字节的IP报文分成三片后，其偏移字段的 值分别为0，1500，3000，且标识符字段相同。
与IP报文有关的异常
与报文分片（fragment）相关的网络攻击 3、分片报文越多，则其传输效率越低。如果发现网
与IP报文有关的异常
与报文分片（fragment）相关的网络攻击
1、传送IP报文的数字链路可以规定一个单个IP报文 的最大长度，即最大传输单元（MTU）。对于一些 大的IP报文进行分片传送。比如一个4500字节的 IP报文在MTU=1500的链路上传输的时候，需要 分成三个IP报文。
2、分片报文使用的偏移字段和分片标志字段（MF） 标识。
1、运行路由协议的路由器可以通过启用路由协议数 据单元的HMAC(Hash message authentication codes,Hash信息验证码)验证 功能避免这种攻击。 2、流量监测系统可以通过发现来源不合法的路由协 议报文来监测这种攻击的发生。
对设备转发表的攻击
1、设备转发表指网络设备（路由器或交换机）上的 一些表项，用于指示报文的转发方向。如MAC地址 表，ARP表，快速转发表。 2、攻击者通过发送合适的数据报，促使设备建立大 量的此类表格，就会使设备的存储资源耗尽，表内容 被破坏，从而不能正常地转发数据报文。
链路总流量及其异常
源IP分布
1、特点
链路中报文或数据流对应的源IP在正常情况下，分布 具有一定的 规律，当异常发生时，往往会引起源 IP分布发生显著变化。
2、举例
正常情况下对某台Web服务器进行访问的源IP很多 ，每个源IP都会产生一些业务，发送一些报文，并 产生相应的数据流，源IP分散相对比较分散。而当 网络中爆发蠕虫攻击，且网络流量主要由蠕虫攻击 流量构成，被感染主机将会尽量试图连接尽可能多 的目标主机，源IP将会在多个数据流中出现，源 IP分布比较集中。
过建立邻接关系来交换路由的本地链路信息，然后 形成一个整网的链路状态数据库。路由器可以很容 易地在该数据库基础上计算出路由表。 2、攻击 攻击者通过冒充合法的路由器与网络中的路由器建立 邻接关系，并向它发送大量的链路状态广播报文， 引导该路由器形成错误的网络拓扑结构，从而导致 整个网络的破坏。
针对路由协议和设备转发表的攻击
7
与ICMP报文相关的攻击和异常
6
其他异常
针对路由协议和设备转发表的攻击
路由协议 路由协议用于在网络设备（路由器）之间交换路由信
息，常见的路由协议有：
1、RIP（Routing Information Protocol,路 由信息协议)
2、OSPF（Open shortest path first,开放最 短路径优先协议）
链路总流量及其异常
目的端口分布 1、特点 链路中报文或数据流对应的目的端口在正常情况下，
分布具有一定的规律，当异常发生时，往往会引起 目的端口分布相对比较分散。 2、举例 例如，正常情况下，合法IP主要访问提供各种业务的 网络服务器，目的的端口分布相对比较分散。如果 攻击者针对服务器某一漏洞进行扫描攻击，其扫描 的目的端口一般较为单一，则当攻击流量占据主导 地位时，目的端口分布将相对比较集中。
针对IS-IS协议的攻击 IS-IS路由协议是一种与OSPF类似的基于链路状
态的路由协议。这种路由协议是通过建立邻居关系， 收集路由器本地链路状态的手段来完成链路状态数据 库同步。因此，可以采取与针对OSPF类似的方法进 行攻击，导致网络路由器的路由表与实际情况不符， 致使网络中断。
如何监测针常流量概念
2
链路流量及其异常
3
直接影响网络正常运行的流
4
针对路由协议和设备转发表的攻击
5
与IP报文有关的异常
6
与TCP报文和通信过程相关的异常
7
与ICMP报文相关的攻击和异常
6
其他异常
直接影响网络正常运行的流
把直接影响网络正常运行的流作为最重要的流 例如: 与DNS服务器的通信直接影响到域名解析的实现； SNMP协议流是否正常会直接关系到网络管理系统
与IP报文有关的异常
伪造的源IP地址 1、一般情况下，路由器在转发报文的时候，只根据
的报文的目地址查路由表，而不管报文的源地址是 什么。一些网络攻击使用伪造的源IP地址，这样会 导致报文接收者向错误的主机（通常是被攻击的对 象）发送应答。
2、流量监测系统能够发现一些这种报文。例如：流 量监测系统一般会对链路两端的IP地址范围有一定 的了解，因此可以发现链路一端的IP 地址作为源 地址却出现在由链路那一端发出的IP报文中。
本节主要内容
1
异常流量概念
2
链路流量及其异常
3
直接影响网络正常运行的流
4
针对路由协议和设备转发表的攻击
5
与IP报文有关的异常
6
与TCP报文和通信过程相关的异常
7
与ICMP报文相关的攻击和异常
6
其他异常
与IP报文有关的异常
1、IP报文的头部是一些事先定义的字段。这些字段 被填入错误的值将导致网络或它连接的主机出现各种 问题。以下是一些典型的例子。 2、IP报头结构
本节主要内容
1
异常流量概念
2
链路流量及其异常
3
直接影响网络正常运行的流
4
针对路由协议和设备转发表的攻击
5
与IP报文有关的异常
6
与TCP报文和通信过程相关的异常
7
与ICMP报文相关的攻击和异常
6
其他异常
链路总流量及其异常
1、链路总流量 网络中一条物理链路上的单位时间流过比特数或者字 节数。 2、单向流量和双向流量 3、上行流量和下行流量 上行流量是指流出到上一级网络的流量；下行流量则 是流入流量。 4、总流量异常 瞬间的流量突变与日常观测的流量规律不符合
流长分布 1、流长 指的是数据流中包含的报文个数。
2、正常流长 正常用户对Web服务器进行访问时，需要首先建立
TCP连接，然后进行业务数据传输，数据流中包含的 报文数量较大。
3、异常流长 异常用户产生的数据流一般相对较小，如扫描攻击等。
对扫描源来说，其目的仅是探测目的服务器端口开放 情况，不需要进行业务数据传输，因此扫描攻击会产 生大量的小数据流。但对于某些攻击流长也较大。
文来维护路由表。一台运行RIP协议的路由器如果 从一个接口上收到了一个路由更新报文，它就会分 析其中包含的路由信息，并与自己的路由表做出比 较，如果该路由器认为这些路由信息比自己所掌握 的要有效，它便把这些路由信息引入自己的路由表 中。
针对路由协议和设备转发表的攻击
针对RIP协议的攻击 一个攻击者向一台运行RIP协议的路由器发送了人为
构造的带破坏性的路由更新报文，后果： 很容易把路由表搞乱，从而导致网络中断。 把数据包指定到某台设备转发，在这台设备中，数
据包既可以被检查，也可以被修改。 模仿任何主机，使得所有应该发送到那台主机的通
信都被发送到攻击者的计算机中。
针对路由协议和设备转发表的攻击
针对OSPF协议的攻击 1、特点 OSPF协议适合于大型网络使用。OSPF路由协议通
异常流量监测
本节主要内容
1
异常流量概念
2
链路流量及其异常
3
直接影响网络正常运行的流
4
针对路由协议和设备转发表的攻击
5
与IP报文有关的异常
6
与TCP报文和通信过程相关的异常
7
与ICMP报文相关的攻击和异常
6
其他异常
异常流量概念
1、在正常情况下，经过多个主机汇聚产生的网络出 口流量具有明显的规律性。流量在瞬间出现违反这种 规律的情况，即出现了异常流量，往往表示网络本身 出现了异常。例如网络中某个设备损坏，或者网络受 到了攻击。 2、本节讨论通过网络流量监测手段可能看到的网络 异常流量及其含义。
链路总流量及其异常
会话数、报文数 1、链路总流量也可能用单位时间报文数或单位时间
连接（也可能会被叫做会话数、流数）来表示。 2、会话数和单位时间字节数之间并无恒定的比例关
系 3、单位时间报文数或者连接数发生突变，往往也是
意味着网络中出现了某种问题。例如： 发出大量连接请求 响应大量连接请求 在短时间内迅速建立大量连接 4、超短连接
与IP报文有关的异常
LAND攻击 1、一种更为特别的伪造源IP地址的方式是在报文中
使用目的IP地址作为源IP地址。这种报文被主机 接收后会导致不可预期的后果。因此常常被作为一 种恶意攻击的手段。
2、LAND攻击：攻击者向目标主机发送一个源和目 的IP地址相同的TCP SYN报文。这导致目标主机 接收到这个SYN报文后向自己发送一个 SYN/ACK报文，进一步发送一个ACK确认报文 ，建立一个“空”连接。如果攻击者发送了足够多 的这类报文，则目标主机可能因为内存耗尽而最终 不能提供正常的服务。