扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:techrepublic.com.com 2006年1月13日
关键字:
不久前一个同事问我一个简单的问题:有多少从互联网进入我们网络的流量是“垃圾”流量,这些不请自来的流量又会消耗多少成本?在对他的问题进行深入研究之前,我请他先给“垃圾流量”下个定义。他下的定义包括可疑的端口扫描,查找应用软件弱点的企图,并与不提供服务的主机进行TCP/UDP连接等。
他让我列出30天中所有曾经侵犯网络的垃圾流量。起初,这项工作看起来不起眼。但仅仅工作几小时以后,就发现我过于低估了这一问题所涉及的范围。
经过几天的努力,我终于得到了一个相当复杂的显示垃圾数据来源的IP地址列表。为了得到这些数据,我使用了多种不同的方法,包括NetFlow数据流量监控技术,系统日志文件,Snort工具以及黑网darknet。
总的来说,在这30天里来自世界各地大约280万个不同IP地址对我们公司的网络发出了垃圾流量。要知道,这个数字还没有包括电子邮件在内。
接下来,我需要整理这些进入网络的不同IP地址,并辨别出这些垃圾流量来自何处。我需要处理数量如此巨大的数据,所以这一工作并不轻松。
由于首先需要将这些数据集合起来,所以我决定从美国地区网络地址中心(ARIN)的FTP上拿到代表性的互联网地址列表。但是ARIN使用的是边界网关协议(BGP),由于BGP工作方式的限制,我所能关注的仅局限于C类网络的公用IP地址。
经过一两个小时的编程和测试之后,我得到了一个集合工具,可以将发送垃圾流量的IP地址与世界上的网络地址对照排列。通过从ARIN获得的25万个网络路径以及我所收集的280万个IP地址,我得到一个大概的数据,在这30天中大约有40万个网络地址曾经给我们公司的网络发来垃圾流量。
接下来,我使用另外一个程序将所收集的数据按地区分开,分为来自ARIN (北美、加勒比海和南非), APNIC (亚太地区), LACNIC (拉丁美洲和加勒比地区),以及RIPE (欧洲、中东,中非和北非) 的网络信息。这时,有趣的统计数字开始出现。
从统计上来看,大部分垃圾IP地址来自美国内部,这并不出人意料。在互联网上,特别是宽带网上有数百万带有木马程序的Windows系统,这些系统大部分也集中在美国。世界范围内的黑客经常将大量危险的Windows系统组成“僵尸网络”,并利用它们来进行DoS攻击或其他危险活动。
列表上第二大垃圾来源是中国。如果有人想发送垃圾邮件,在中国有大量可以使用的位置,这一点有许多垃圾邮件报告服务都可以证明。在任何情况下,大量来自中国的扫描SMTP和不同TCP代理服务的IP地址都使得中国位列第二。
前五名中的另外三位分别是法国、比利时和德国。其余国家相比前五名数据都不大,所以我将其余国家的数据加总计算。以30天进入的数据总量为基础,我的报告显示企业网络流量中大约7%为垃圾流量。以宽带每秒每兆50美元计算,每月用于垃圾流量的成本就有255美元,一年则为3060美元。
不过,和企业整体宽带成本相比,这一数字微不足道,不值得刻意去改变。如果尝试联系发出垃圾流量的网络管理者,可能反倒得不偿失,而他们可能也不会采取任何措施。所以,就如同其他许多网络问题一样,互联网垃圾流量问题还未得到企业的清醒认识。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。