IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置: 首頁(yè)系統(tǒng)集成網(wǎng)絡(luò)管理 → 怎樣使用NetFlow分析網(wǎng)絡(luò)異常流量

怎樣使用NetFlow分析網(wǎng)絡(luò)異常流量

時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)

  一、前言

  近年來(lái),隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而,伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量,網(wǎng)絡(luò)上形形色色的異常流量也隨之而來(lái),影響到互聯(lián)網(wǎng)的正常運(yùn)行,威脅用戶主機(jī)的安全和正常使用。

  本文從互聯(lián)網(wǎng)運(yùn)營(yíng)商的視角,對(duì)互聯(lián)網(wǎng)異常流量的特征進(jìn)行了深入分析,進(jìn)而提出如何在網(wǎng)絡(luò)層面對(duì)互聯(lián)網(wǎng)異常流量采取防護(hù)措施,其中重點(diǎn)講述了NetFlow分析在互聯(lián)網(wǎng)異常流量防護(hù)中的應(yīng)用及典型案例。

  二、NetFlow簡(jiǎn)介

  本文對(duì)互聯(lián)網(wǎng)異常流量的特征分析主要基于NetFlow數(shù)據(jù),因此首先對(duì)NetFlow做簡(jiǎn)單介紹。

  1. NetFlow概念

  NetFlow是一種數(shù)據(jù)交換方式,其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù),生成NetFlow 緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,不再匹配相關(guān)的訪問(wèn)控制等策略,NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。

  一個(gè)NetFlow流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。

  2. NetFlow數(shù)據(jù)采集

  針對(duì)路由器送出的NetFlow數(shù)據(jù),可以利用NetFlow數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上,以便利用各種NetFlow數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。

  Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow數(shù)據(jù),其它許多廠家也提供類似的采集軟件。

  下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)例:

  211.*.*.57|202.*.*.12|Others|localas|9|6|2392

  |80|80|1|40|1

  出于安全原因考慮,本文中出現(xiàn)的IP地址均經(jīng)過(guò)處理。

  NetFlow數(shù)據(jù)也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數(shù)據(jù)實(shí)例,:

  gsr #att 2(登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡)

  LC-Slot2>sh ip cache flow

  SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts

  Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2

  Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A1

  本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù),針對(duì)路由器直接輸出的Neflow數(shù)據(jù),也可以采用類似方法分析。

  3. NetFlow數(shù)據(jù)采集格式說(shuō)明

  NFC 可以定制多種NetFlow數(shù)據(jù)采集格式,下例為NFC2.0采集的一種流量數(shù)據(jù)實(shí)例,本文的分析都基于這種格式。

  61.*.*.68|61.*.*.195|64917|Others|9|13|4528|

  135|6|4|192|1

  數(shù)據(jù)中各字段的含義如下:

  源地址|目的地址|源自治域|目的自治域|流入接口號(hào)|流出接口號(hào)|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量

  4. 幾點(diǎn)說(shuō)明

  NetFlow主要由Cisco路由器支持,對(duì)于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類似的功能,例如Juniper路由器支持sFlow功能。

  NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權(quán)都有關(guān)系,不是在所有情況下都能使用,使用時(shí)需考慮自己的軟硬件配置情況。

  本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)。

  三、互聯(lián)網(wǎng)異常流量的NetFlow分析

  要對(duì)互聯(lián)網(wǎng)異常流量進(jìn)行分析,首先要深入了解其產(chǎn)生原理及特征,以下將重點(diǎn)從NetFlow數(shù)據(jù)角度,對(duì)異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個(gè)方面進(jìn)行分析。

   1. 異常流量的種類

  目前,對(duì)互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:

  (1)拒絕服務(wù)攻擊(DoS)

  DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器,致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降,或占用網(wǎng)絡(luò)帶寬,影響其它相關(guān)用戶流量的正常通信,最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。

  例如DoS可以利用TCP協(xié)議的缺陷,通過(guò)SYN打開(kāi)半開(kāi)的TCP連接,占用系統(tǒng)資源,使合法用戶被排斥而不能建立正常的TCP連接。

  以下為一個(gè)典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實(shí)例,該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊。

  117.*.68.45|211.*.*.49|Others|64851|3|2|10000|

  10000|6|1|40|1

  104.*.93.81|211.*.*.49|Others|64851|3|2|5557|

  5928|6|1|40|1

  58.*.255.108|211.*.*.49|Others|64851|3|2|3330|

  10000|6|1|40|1

  由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的,現(xiàn)在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機(jī)的主要原因。

  (2)分布式拒絕服務(wù)攻擊(DDoS)

  DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動(dòng)化,分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊,在這種情況下,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò),可能使被攻擊目標(biāo)因過(guò)載而崩潰。

  以下為一個(gè)典型的DDoS攻擊的NetFlow數(shù)據(jù)實(shí)例,該案例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊。

  61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|

  17|6571|9856500|1

  211.*.*.163|69.*.*.100|64751|as9|3|9|18423|

  22731|17|906|1359000|1

  61.*.*.145|69.*.*.100|64731|Others|2|0|52452|

  22157|17|3|4500|1

  (3)網(wǎng)絡(luò)蠕蟲(chóng)病毒流量

  網(wǎng)絡(luò)蠕蟲(chóng)病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響。近年來(lái),Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā),不但對(duì)用戶主機(jī)造成影響,而且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害,因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò),主動(dòng)傳播病毒的能力,會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。

  以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實(shí)例,該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求,其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。

  61.*.*.*|168.*.*.200|Others|Others|3|0|1186|

  445|6|1|48|1

  61.*.*.*|32.*.*.207|Others|Others|3|0|10000|

  445|6|1|48|1

  61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

  445|6|1|48|1

  (4)其它異常流量

  我們把其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇,例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求,很容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。

  以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段,針對(duì)UDP 137端口掃描的NetFlow數(shù)據(jù)實(shí)例:

  211.*.*.54|167.*.210.95|65211|as3|2|10|1028|

  137|17|1|78|1

  211.*.*.54|167.*.210.100|65211|as3|2|10|

  1028|137|17|1|78|1

  211.*.*.54|167.*.210.103|65211|as3|2|10|

  1028|137|17|1|78|1

  2. 異常流量流向分析

  從異常流量流向來(lái)看,常見(jiàn)的異常流量可分為三種情況:

  網(wǎng)外對(duì)本網(wǎng)內(nèi)的攻擊

  本網(wǎng)內(nèi)對(duì)網(wǎng)外的攻擊

  本網(wǎng)內(nèi)對(duì)本網(wǎng)內(nèi)的攻擊

  針對(duì)不同的異常流量流向,需要采用不同的防護(hù)及處理策略,所以判斷異常流量流向是進(jìn)一步防護(hù)的前提,以下為這三種情況的NetFlow數(shù)據(jù)實(shí)例:

  124.*.148.110|211.*.*.49|Others|64851|3|2|

  10000|10000|6|1|40|1

  211.*.*.54|167.*.210.252|65211|as3|2|10|

  1028|137|17|1|78|1

  211.*.*.187|211.*.*.69|Others|localas|71|6|1721|

  445|6|3|144|1

  其中211開(kāi)頭的地址為本網(wǎng)地址。

  3. 異常流量產(chǎn)生的后果

  異常流量對(duì)網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個(gè)方面:

  占用帶寬資源使網(wǎng)絡(luò)擁塞,造成網(wǎng)絡(luò)丟包、時(shí)延增大,嚴(yán)重時(shí)可導(dǎo)致網(wǎng)絡(luò)不可用;

  占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源(CPU、內(nèi)存等),使網(wǎng)絡(luò)不能提供正常的服務(wù)。

  4. 異常流量的數(shù)據(jù)包類型

  常見(jiàn)的異常流量數(shù)據(jù)包形式有以下幾種:

  ?TCP SYN flood(40字節(jié))

  11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|

  1|40|1

  從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為6(TCP),數(shù)據(jù)流大小為40字節(jié)(通常為T(mén)CP的SYN連接請(qǐng)求)。

  ?ICMP flood

  2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|

  218359704|1

  從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為1(ICMP),單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。

  ?UDP flood

  *.*.206.73|160.*.71.129|64621|Others|6|34|

  1812|1812|17|224|336000|1

  *.*.17.196|25.*.156.119|64621|Others|6|34|

  1029|137|17|1|78|1

  從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為17(UDP),數(shù)據(jù)流有大有小。

  ?其它類型

  其它類型的異常流量也會(huì)在網(wǎng)絡(luò)中經(jīng)常見(jiàn)到,從理論上來(lái)講,任何正常的數(shù)據(jù)包形式如果被大量濫用,都會(huì)產(chǎn)生異常流量,如以下的DNS正常訪問(wèn)請(qǐng)求數(shù)據(jù)包(協(xié)議類型53)如果大量發(fā)生,就會(huì)產(chǎn)生對(duì)DNS服務(wù)器的DoS攻擊。

  211.*.*.146|211.*.*.129|Others|Others|71|8|

  3227|53|53|1|59|1

 5. 異常流量的源、目的地址
  

關(guān)鍵詞標(biāo)簽:NetFlow,網(wǎng)絡(luò)異常流量

相關(guān)閱讀

文章評(píng)論
發(fā)表評(píng)論

熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

    人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量