最新消息:

為使教育網路專線頻寬能更有效使用於正常連線,自2011-5-20日起對於符合異常流量之主機,資網中心將以E-mail通知學校資訊網管人員,對於被通知之主機煩請務必檢查並排除異常流量之原因,以免未來列入封鎖名單中。為避免對於貴單位之伺服器如PROXY/NAT/FIREWALL及SMTP SERVER產生誤判情形,請各單位網管人員務必至「教育局」「8.學術網路」「8-1.網路管理專區」「8-1-7.網管伺服器登錄」填報貴單位之伺服器資料。

若10分鐘內flow量符合下面條件時,判斷為異常流量IP:

編號 名稱 外部主機flow量門檻值 內部有登記伺服器flow門檻值 內部其它flow門檻值 備註
1 SMTP-OVERFLOW 未限制 登記SMTP 1000 100  
2 SCAN-PORT-137-138-139 100 100 100  
3 SCAN-PORT-445 100 100 100
4 SCAN-PORT-1434 100 100 100
5 MSBLAST 1000 5000 1000
6 SCAN-PORT-SSH 200 500 200
7 企圖登入教網主機 9 9 9
8 IRC-BOTNET 50 50 50
9 OVERFLOW 30000 5000 e-mail通知不封鎖

對於上述之條件若有意見或是能提供更佳之判斷原則者,煩請與資網中心網路組黃老師連絡作為日後調整之依據,謝 謝!

使用說明

1. 請選擇欲觀察之日期 (預設值為昨日)

2. TANet 為各單位透過興大區網進出 internet 的量;

3. 各連線單位可透過Netflow分析了解各單位單日各項服務之總流量。各類服務所使用之port參考資料

4. IPv6 netflow 分析


[網路組]:黃國順老師 劉育彰老師 陳文鴻老師 黃弘彰老師 張本和老師

建置日期:2011/3/4 by jimhwang

感謝交大 提供原始碼及台南市網中心文件說明