聯(lián)網(wǎng)異常流量的Netflow分析

1、聯(lián)網(wǎng)異常流量的Netflow分析 (作者:曹 錚)曹 錚（中國(guó)聯(lián)通數(shù)據(jù)與固定通信業(yè)務(wù)部）摘 要 本文從互聯(lián)網(wǎng)運(yùn)營(yíng)商的視角，利用Netflow分析手段，對(duì)互聯(lián)網(wǎng)異常流量的特征進(jìn)行了深入分析，進(jìn)而提出如何在網(wǎng)絡(luò)層面對(duì)互聯(lián)網(wǎng)異常流量采取防護(hù)措施，并給出了近年來(lái)一些典型互聯(lián)網(wǎng)異常流量的Netflow分析案例。關(guān)鍵詞 互聯(lián)網(wǎng) 異常流量 Netflow 流量分析DoS/DDoS 蠕蟲病毒一、前言 近年來(lái)，隨著互聯(lián)網(wǎng)在全球的迅速進(jìn)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而，伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量，網(wǎng)絡(luò)上形形色色的異常流量也隨之而來(lái)，阻礙到互聯(lián)網(wǎng)的正常運(yùn)行，威

2、脅用戶主機(jī)的安全和正常使用。 本文從互聯(lián)網(wǎng)運(yùn)營(yíng)商的視角，對(duì)互聯(lián)網(wǎng)異常流量的特征進(jìn)行了深入分析，進(jìn)而提出如何在網(wǎng)絡(luò)層面對(duì)互聯(lián)網(wǎng)異常流量采取防護(hù)措施，其中重點(diǎn)講述了Netflow分析在互聯(lián)網(wǎng)異常流量防護(hù)中的應(yīng)用及典型案例。二、Netflow簡(jiǎn)介 本文對(duì)互聯(lián)網(wǎng)異常流量的特征分析要緊基于Netflow數(shù)據(jù)，因此首先對(duì)Netflow做簡(jiǎn)單介紹。 1. Netflow概念 NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問(wèn)操縱等策略，NetFlow緩存

3、同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。 一個(gè)NetFlow流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。 2. Netflow數(shù)據(jù)采集 針對(duì)路由器送出的Netflow數(shù)據(jù)，能夠利用Netflow數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上，以便利用各種Netflow數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。 Cisco提供了Cisco Netflow Collector（NFC）采集Netflow數(shù)據(jù)，其它許多廠家也提供類似的采集軟件。 下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)例： 211.*.*.57|202.*.*.12|Others|localas|9|6|239

4、2|80|80|1|40|1 出于安全緣故考慮，本文中出現(xiàn)的IP地址均通過(guò)處理。 Netflow數(shù)據(jù)也能夠在路由器上直接查看，以下為從Cisco GSR路由器采集的數(shù)據(jù)實(shí)例，： gsr #att 2 （登錄采集Netflow數(shù)據(jù)的GSR 2槽板卡） LC-Slot2sh ip cache flow SrcIfSrcIPaddressDstIfDstIPaddressPr SrcP DstPPkts Gi2/1219.*.*.229PO4/2217.*.*.22806 09CB 168D2 Gi2/161.*.*.23Null63.*.*.246110426 059A 1 本文中的Netflow

5、數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù)，針對(duì)路由器直接輸出的Neflow數(shù)據(jù)，也能夠采納類似方法分析。 3. Netflow數(shù)據(jù)采集格式講明 NFC 能夠定制多種Netflow數(shù)據(jù)采集格式，下例為NFC2.0采集的一種流量數(shù)據(jù)實(shí)例，本文的分析都基于這種格式。 61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1 數(shù)據(jù)中各字段的含義如下： 源地址|目的地址|源自治域|目的自治域|流入接口號(hào)|流出接口號(hào)|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量 4. 幾點(diǎn)講明 Netflow要緊由Cisco路由器支持，關(guān)于其它廠家的網(wǎng)絡(luò)產(chǎn)品也

6、有類似的功能，例如Juniper路由器支持sFlow功能。 Netflow支持情況與路由器類型、板卡類型、IOS版本、IOS授權(quán)都有關(guān)系，不是在所有情況下都能使用，使用時(shí)需考慮自己的軟硬件配置情況。 本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的Netflow數(shù)據(jù)。三、互聯(lián)網(wǎng)異常流量的Netflow分析 要對(duì)互聯(lián)網(wǎng)異常流量進(jìn)行分析，首先要深入了解其產(chǎn)生原理及特征，以下將重點(diǎn)從Netflow數(shù)據(jù)角度，對(duì)異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個(gè)方面進(jìn)行分析。 1. 異常流量的種類 目前，對(duì)互聯(lián)網(wǎng)造成重大阻礙的異常流量要緊有以下幾種： （1）拒絕服務(wù)攻擊（DoS） DoS攻擊使用

7、非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，阻礙其它相關(guān)用戶流量的正常通信，最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。 例如DoS能夠利用TCP協(xié)議的缺陷，通過(guò)SYN打開半開的TCP連接，占用系統(tǒng)資源，使合法用戶被排斥而不能建立正常的TCP連接。 以下為一個(gè)典型的DoS SYN攻擊的Netflow數(shù)據(jù)實(shí)例，該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊。 117.*.68.45|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1 104.*.93.81|211.*.*.49|Others|64

8、851|3|2|5557|5928|6|1|40|1 58.*.255.108|211.*.*.49|Others|64851|3|2|3330|10000|6|1|40|1 由于Internet協(xié)議本身的缺陷，IP包中的源地址是能夠偽造的，現(xiàn)在的DoS工具專門多能夠偽裝源地址，這也是不易追蹤到攻擊源主機(jī)的要緊緣故。 （2）分布式拒絕服務(wù)攻擊（DDoS） DDoS把DoS又進(jìn)展了一步，將這種攻擊行為自動(dòng)化，分布式拒絕服務(wù)攻擊能夠協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊，在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)因過(guò)載而崩潰。 以下為一個(gè)典型的DDoS攻擊的Netflow數(shù)據(jù)實(shí)例，該案

9、例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊。 61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|17|6571|9856500|1 211.*.*.163|69.*.*.100|64751|as9|3|9|18423|22731|17|906|1359000|1 61.*.*.145|69.*.*.100|64731|Others|2|0|52452|22157|17|3|4500|1 （3）網(wǎng)絡(luò)蠕蟲病毒流量 網(wǎng)絡(luò)蠕蟲病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生阻礙。近年來(lái)，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對(duì)用戶主機(jī)造成阻礙，而

10、且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害，因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò)，主動(dòng)傳播病毒的能力，會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。 以下為最近出現(xiàn)的振蕩波病毒Netflow數(shù)據(jù)實(shí)例，該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求，其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。 61.*.*.*|168.*.*.200|Others|Others|3|0|1186|445|6|1|48|1 61.*.*.*|32.*.*.207|Others|Others|3|0|10000|445|6|1|48|1 61.*.*.*|24.*.*.23|Others|Others|3|0|10000|445|

11、6|1|48|1 （4）其它異常流量 我們把其它能夠阻礙網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求，專門容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。 以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段，針對(duì)UDP 137端口掃描的Netflow數(shù)據(jù)實(shí)例： 211.*.*.54|167.*.210.95|65211|as3|2|10|1028|137|17|1|78|1 211.*.*.54|167.*.210.100|65211|as3|2|10|1028|137|17|1|78|1 211.*.*.54|167.*.210.103|65211|as3|2|10|1028

12、|137|17|1|78|1 2. 異常流量流向分析 從異常流量流一直看，常見的異常流量可分為三種情況： 網(wǎng)外對(duì)本網(wǎng)內(nèi)的攻擊 本網(wǎng)內(nèi)對(duì)網(wǎng)外的攻擊 本網(wǎng)內(nèi)對(duì)本網(wǎng)內(nèi)的攻擊 針對(duì)不同的異常流量流向，需要采納不同的防護(hù)及處理策略，因此推斷異常流量流向是進(jìn)一步防護(hù)的前提，以下為這三種情況的Netflow數(shù)據(jù)實(shí)例： 124.*.148.110|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1 211.*.*.54|167.*.210.252|65211|as3|2|10|1028|137|17|1|78|1 211.*.*.187|211.*.*.69|Ot

13、hers|localas|71|6|1721|445|6|3|144|1 其中211開頭的地址為本網(wǎng)地址。 3. 異常流量產(chǎn)生的后果 異常流量對(duì)網(wǎng)絡(luò)的阻礙要緊體現(xiàn)在兩個(gè)方面： 占用帶寬資源使網(wǎng)絡(luò)擁塞，造成網(wǎng)絡(luò)丟包、時(shí)延增大，嚴(yán)峻時(shí)可導(dǎo)致網(wǎng)絡(luò)不可用； 占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源（CPU、內(nèi)存等），使網(wǎng)絡(luò)不能提供正常的服務(wù)。 4. 異常流量的數(shù)據(jù)包類型 常見的異常流量數(shù)據(jù)包形式有以下幾種： TCP SYN flood（40字節(jié)） 11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1 從netflow的采集數(shù)據(jù)能夠看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類

14、型為6（TCP），數(shù)據(jù)流大小為40字節(jié)（通常為TCP的SYN連接請(qǐng)求）。 ICMP flood 2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1 從netflow的采集數(shù)據(jù)能夠看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為1（ICMP），單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。 UDP flood *.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1 *.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17

15、|1|78|1 從netflow的采集數(shù)據(jù)能夠看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為17（UDP），數(shù)據(jù)流有大有小。 其它類型 其它類型的異常流量也會(huì)在網(wǎng)絡(luò)中經(jīng)常見到，從理論上來(lái)講，任何正常的數(shù)據(jù)包形式假如被大量濫用，都會(huì)產(chǎn)生異常流量，如以下的DNS正常訪問(wèn)請(qǐng)求數(shù)據(jù)包（協(xié)議類型53）假如大量發(fā)生，就會(huì)產(chǎn)生對(duì)DNS服務(wù)器的DoS攻擊。 211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|1 5. 異常流量的源、目的地址 目的地址為固定的真地址，這種情況下目的地址通常是被異常流量攻擊的對(duì)象，如下例數(shù)據(jù)： 211.*.*.153

16、|*.10.72.226|as2|as8|5|4|3844|10000|17|2|3000|2 211.*.*.153|*.10.72.226|as2|as8|5|4|3845|10000|17|1|1500|1 211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|17|1|1500|1 目的地址隨機(jī)生成，如下例數(shù)據(jù)： 211.*.*.187|169.*.190.17|Others|localas|71|6|1663|445|6|3|144|1 211.*.*.187|103.*.205.148|Others|localas|71|6|3647|445

17、|6|3|144|1 211.*.*.187|138.*.80.79|Others|localas|71|6|1570|445|6|3|144|1 目的地址有規(guī)律變化，如下例數(shù)據(jù)，目的地址在順序增加： 211.*.*.219|192.*.254.18|Others|Others|15|9|10000|6789|17|1|36|1 211.*.*.219|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2 211.*.*.219|192.*.254.20|Others|Others|15|9|10000|6789|17|3|108|3 源地址

18、為真實(shí)IP地址，數(shù)據(jù)同上例： 源地址為偽造地址，這種情況源地址通常隨機(jī)生成，如下例數(shù)據(jù)，源地址差不多上偽造的網(wǎng)絡(luò)地址： 63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1 12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1 212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1 6. 異常流量的源、目的端口分析 異常流量的源端口通常會(huì)隨機(jī)生成，如下例數(shù)據(jù)： 211.*.*.187|169.172.190.17|Others|locala

19、s|71|6|1663|445|6|3|144|1 211.*.*.187|103.210.205.148|Others|localas|71|6|3647|445|6|3|144|1 211.*.*.187|138.241.80.79|Others|localas|71|6|1570|445|6|3|144|1 多數(shù)異常流量的目的端口固定在一個(gè)或幾個(gè)端口，我們能夠利用這一點(diǎn)，對(duì)異常流量進(jìn)行過(guò)濾或限制，如下例數(shù)據(jù)，目的端口為UDP 6789： 211.*.*.219|192.*.254.18|Others|Others|15|9|10000|6789|17|1|36|1 211.*.*.219

20、|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2 211.*.*.219|192.*.254.20|Others|Others|15|9|10000|6789|17|3|108|3四、利用Netflow工具處理防范網(wǎng)絡(luò)異常流量 從某種程度上來(lái)講，互聯(lián)網(wǎng)異常流量永久可不能消逝而且從技術(shù)上目前沒(méi)有全然的解決方法，但對(duì)網(wǎng)管人員來(lái)講，能夠利用許多技術(shù)手段分析異常流量，減小異常流量發(fā)生時(shí)帶來(lái)的阻礙和損失，以下是處理網(wǎng)絡(luò)異常流量時(shí)能夠采納的一些方法及工具： 1. 推斷異常流量流向 因?yàn)槟壳岸鄶?shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的Netflow數(shù)據(jù)，因此采

21、集異常流量Netflow數(shù)據(jù)之前，首先要推斷異常流量的流向，進(jìn)而選擇合適的物理端口去采集數(shù)據(jù)。 流量監(jiān)控治理軟件是推斷異常流量流向的有效工具，通過(guò)流量大小變化的監(jiān)控，能夠關(guān)心我們發(fā)覺(jué)異常流量，特不是大流量異常流量的流向，從而進(jìn)一步查找異常流量的源、目的地址。 目前最常用的流量監(jiān)控工具是免費(fèi)軟件MRTG，下圖為利用MRTG監(jiān)測(cè)到的網(wǎng)絡(luò)異常流量實(shí)例，能夠看出被監(jiān)測(cè)設(shè)備端口在當(dāng)天4：00至9：30之間產(chǎn)生了幾十Mbps的異常流量，造成了該端口的擁塞（峰值流量被拉平）。 假如能夠?qū)⒘髁勘O(jiān)測(cè)部署到全網(wǎng)，如此在類似異常流量發(fā)生時(shí)，就能迅速找到異常流量的源或目標(biāo)接入設(shè)備端口，便于快速定位異常流量流向。 有些

22、異常流量發(fā)生時(shí)并不體現(xiàn)為大流量的產(chǎn)生，這種情況下，我們也能夠綜合異常流量發(fā)生時(shí)的其它現(xiàn)象推斷其流向，如設(shè)備端口的包轉(zhuǎn)發(fā)速率、網(wǎng)絡(luò)時(shí)延、丟包率、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素。 2. 采集分析Netflow數(shù)據(jù) 推斷異常流量的流向后，就能夠選擇合適的網(wǎng)絡(luò)設(shè)備端口，實(shí)施Neflow配置，采集該端口入流量的Netflow數(shù)據(jù)。 以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開Netflow的配置實(shí)例： ip flow-export source Loopback0 ip flow-export destination *.*.*.61 9995 ip flow-sa

23、mpling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通過(guò)該配置把流入到GigabitEthernet10/0的Netflow數(shù)據(jù)送到Netflow采集器*.*.*.61，該實(shí)例中采納sampled模式，采樣間隔為100:1。 3. 處理異常流量的方法 （1）切斷連接 在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下，切斷異常流量源設(shè)備的物理連接是最直接的解決方法。 （2）過(guò)濾 采納ACL（Access Control List）過(guò)濾能夠靈活實(shí)現(xiàn)針對(duì)源目的IP地址、協(xié)

24、議類型、端口號(hào)等各種形式的過(guò)濾，但同時(shí)也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用，下例為利用ACL過(guò)濾UDP 1434端口的實(shí)例： access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 此過(guò)濾針對(duì)蠕蟲王病毒（SQL Slammer），但同時(shí)也過(guò)濾了針對(duì)SQL Server的正常訪問(wèn)，假如要保證對(duì)SQL Server的正常訪問(wèn)，還能夠依照病毒流數(shù)據(jù)包的大小特征實(shí)施更細(xì)化的過(guò)濾策略（本文略）。 （3）靜態(tài)空路由過(guò)濾 能確定異常流量目標(biāo)地址的情況下，能夠用靜態(tài)路由把異常流量的目標(biāo)地址指向空（Null），這種過(guò)濾幾

25、乎不消耗路由器系統(tǒng)資源，但同時(shí)也過(guò)濾了對(duì)目標(biāo)地址的正常訪問(wèn)，配置實(shí)例如下： ip route 205.*.*.2 255.255.255.255 Null 0 關(guān)于多路由器的網(wǎng)絡(luò)，還需增加相關(guān)動(dòng)態(tài)路由配置，保證過(guò)濾在全網(wǎng)生效。 （4）異常流量限定 利用路由器CAR功能，能夠?qū)惓Ａ髁肯薅ㄔ谝欢ǖ姆秶?，這種過(guò)濾也存在消耗路由器系統(tǒng)資源的副作用，以下為利用CAR限制UDP 1434端口流量的配置實(shí)例： Router# (config) access-list 150 deny udp any any eq 1434 Router# (config) access-list 150 permit i

26、p any any Router# (config) interface fastEthernet 0/0 Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop 此配置限定UDP 1434端口的流量為8Kbps。五、常見蠕蟲病毒的Netflow分析案例 利用上訴方法能夠分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量，特不是關(guān)于近年來(lái)在互聯(lián)網(wǎng)中造成較大阻礙的多數(shù)蠕蟲病毒，其分析效果特不明顯，以下為幾種蠕蟲病毒的Netflo

27、w分析實(shí)例： 1. 紅色代碼 (Code Red Worm) 2001年7月起發(fā)作，至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)。 211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1 211.*.*.237|192.*.141.167|65111|as1|6|36|4245|80|80|3|144|1 211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1 Netflow流數(shù)據(jù)典型特征：目的端口80, 協(xié)議類型80，包數(shù)量3，字節(jié)數(shù)144。 2. 硬盤殺手（worm.opasoft，

28、W32.Opaserv.Worm） 2002年9月30日起發(fā)作，曾對(duì)許多網(wǎng)絡(luò)設(shè)備性能造成阻礙，2003年后逐漸減少。 61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1 61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1 61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1 Netflow流數(shù)據(jù)典型特征：目的端口137，協(xié)議類型UDP，字節(jié)數(shù)78。 3. 2003蠕蟲王 (Worm.Ne

29、tKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm) 2003年1月25日起爆發(fā)，造成全球互聯(lián)網(wǎng)幾近癱瘓，至今仍是互聯(lián)網(wǎng)中最常見的異常流量之一。 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1 61.*.*.124|28.*.154.90|65111|as1|6|70|4444|1434|17|1|404|1 61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1 Netflow流數(shù)據(jù)典型特征：目的端口143

30、4，協(xié)議類型UDP，字節(jié)數(shù)404 4. 沖擊波 (WORM.BLASTER，W32.Blaster.Worm) 2003年8月12日起爆發(fā)，由其引發(fā)了危害更大的沖擊波殺手病毒。 211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1 211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1 211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1 典型特征：目的端口135，協(xié)議類型TCP，字節(jié)數(shù)4