IT貓撲網:您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機版|論壇轉貼|軟件發(fā)布

您當前所在位置: 首頁系統(tǒng)集成網絡管理 → 怎樣使用NetFlow分析網絡異常流量

怎樣使用NetFlow分析網絡異常流量

時間:2015-06-28 00:00:00 來源:IT貓撲網 作者:網管聯(lián)盟 我要評論(0)

  一、前言

  近年來,隨著互聯(lián)網在全球的迅速發(fā)展和各種互聯(lián)網應用的快速普及,互聯(lián)網已成為人們日常工作生活中不可或缺的信息承載工具。然而,伴隨著互聯(lián)網的正常應用流量,網絡上形形色色的異常流量也隨之而來,影響到互聯(lián)網的正常運行,威脅用戶主機的安全和正常使用。

  本文從互聯(lián)網運營商的視角,對互聯(lián)網異常流量的特征進行了深入分析,進而提出如何在網絡層面對互聯(lián)網異常流量采取防護措施,其中重點講述了NetFlow分析在互聯(lián)網異常流量防護中的應用及典型案例。

  二、NetFlow簡介

  本文對互聯(lián)網異常流量的特征分析主要基于NetFlow數據,因此首先對NetFlow做簡單介紹。

  1. NetFlow概念

  NetFlow是一種數據交換方式,其工作原理是:NetFlow利用標準的交換模式處理數據流的第一個IP包數據,生成NetFlow 緩存,隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸,不再匹配相關的訪問控制等策略,NetFlow緩存同時包含了隨后數據流的統(tǒng)計信息。

  一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流,且所有數據包具有共同的傳輸層源、目的端口號。

  2. NetFlow數據采集

  針對路由器送出的NetFlow數據,可以利用NetFlow數據采集軟件存儲到服務器上,以便利用各種NetFlow數據分析工具進行進一步的處理。

  Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow數據,其它許多廠家也提供類似的采集軟件。

  下例為利用NFC2.0采集的網絡流量數據實例:

  211.*.*.57|202.*.*.12|Others|localas|9|6|2392

  |80|80|1|40|1

  出于安全原因考慮,本文中出現(xiàn)的IP地址均經過處理。

  NetFlow數據也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數據實例,:

  gsr #att 2(登錄采集NetFlow數據的GSR 2槽板卡)

  LC-Slot2>sh ip cache flow

  SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts

  Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2

  Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A1

  本文中的NetFlow數據分析均基于NFC采集的網絡流量數據,針對路由器直接輸出的Neflow數據,也可以采用類似方法分析。

  3. NetFlow數據采集格式說明

  NFC 可以定制多種NetFlow數據采集格式,下例為NFC2.0采集的一種流量數據實例,本文的分析都基于這種格式。

  61.*.*.68|61.*.*.195|64917|Others|9|13|4528|

  135|6|4|192|1

  數據中各字段的含義如下:

  源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協(xié)議類型|包數量|字節(jié)數|流數量

  4. 幾點說明

  NetFlow主要由Cisco路由器支持,對于其它廠家的網絡產品也有類似的功能,例如Juniper路由器支持sFlow功能。

  NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權都有關系,不是在所有情況下都能使用,使用時需考慮自己的軟硬件配置情況。

  本文的所有分析數據均基于采自Cisco路由器的NetFlow數據。

  三、互聯(lián)網異常流量的NetFlow分析

  要對互聯(lián)網異常流量進行分析,首先要深入了解其產生原理及特征,以下將重點從NetFlow數據角度,對異常流量的種類、流向、產生后果、數據包類型、地址、端口等多個方面進行分析。

   1. 異常流量的種類

  目前,對互聯(lián)網造成重大影響的異常流量主要有以下幾種:

  (1)拒絕服務攻擊(DoS)

  DoS攻擊使用非正常的數據流量攻擊網絡設備或其接入的服務器,致使網絡設備或服務器的性能下降,或占用網絡帶寬,影響其它相關用戶流量的正常通信,最終可能導致網絡服務的不可用。

  例如DoS可以利用TCP協(xié)議的缺陷,通過SYN打開半開的TCP連接,占用系統(tǒng)資源,使合法用戶被排斥而不能建立正常的TCP連接。

  以下為一個典型的DoS SYN攻擊的NetFlow數據實例,該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。

  117.*.68.45|211.*.*.49|Others|64851|3|2|10000|

  10000|6|1|40|1

  104.*.93.81|211.*.*.49|Others|64851|3|2|5557|

  5928|6|1|40|1

  58.*.255.108|211.*.*.49|Others|64851|3|2|3330|

  10000|6|1|40|1

  由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的,現(xiàn)在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機的主要原因。

  (2)分布式拒絕服務攻擊(DDoS)

  DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動化,分布式拒絕服務攻擊可以協(xié)調多臺計算機上的進程發(fā)起攻擊,在這種情況下,就會有一股拒絕服務洪流沖擊網絡,可能使被攻擊目標因過載而崩潰。

  以下為一個典型的DDoS攻擊的NetFlow數據實例,該案例中多個IP同時向一個IP發(fā)起UDP攻擊。

  61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|

  17|6571|9856500|1

  211.*.*.163|69.*.*.100|64751|as9|3|9|18423|

  22731|17|906|1359000|1

  61.*.*.145|69.*.*.100|64731|Others|2|0|52452|

  22157|17|3|4500|1

  (3)網絡蠕蟲病毒流量

  網絡蠕蟲病毒的傳播也會對網絡產生影響。近年來,Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā),不但對用戶主機造成影響,而且對網絡的正常運行也構成了的危害,因為這些病毒具有掃描網絡,主動傳播病毒的能力,會大量占用網絡帶寬或網絡設備系統(tǒng)資源。

  以下為最近出現(xiàn)的振蕩波病毒NetFlow數據實例,該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求,其效果相當于對網絡發(fā)起DoS攻擊。

  61.*.*.*|168.*.*.200|Others|Others|3|0|1186|

  445|6|1|48|1

  61.*.*.*|32.*.*.207|Others|Others|3|0|10000|

  445|6|1|48|1

  61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

  445|6|1|48|1

  (4)其它異常流量

  我們把其它能夠影響網絡正常運行的流量都歸為異常流量的范疇,例如一些網絡掃描工具產生的大量TCP連接請求,很容易使一個性能不高的網絡設備癱瘓。

  以下為一個IP對167.*.210.網段,針對UDP 137端口掃描的NetFlow數據實例:

  211.*.*.54|167.*.210.95|65211|as3|2|10|1028|

  137|17|1|78|1

  211.*.*.54|167.*.210.100|65211|as3|2|10|

  1028|137|17|1|78|1

  211.*.*.54|167.*.210.103|65211|as3|2|10|

  1028|137|17|1|78|1

  2. 異常流量流向分析

  從異常流量流向來看,常見的異常流量可分為三種情況:

  網外對本網內的攻擊

  本網內對網外的攻擊

  本網內對本網內的攻擊

  針對不同的異常流量流向,需要采用不同的防護及處理策略,所以判斷異常流量流向是進一步防護的前提,以下為這三種情況的NetFlow數據實例:

  124.*.148.110|211.*.*.49|Others|64851|3|2|

  10000|10000|6|1|40|1

  211.*.*.54|167.*.210.252|65211|as3|2|10|

  1028|137|17|1|78|1

  211.*.*.187|211.*.*.69|Others|localas|71|6|1721|

  445|6|3|144|1

  其中211開頭的地址為本網地址。

  3. 異常流量產生的后果

  異常流量對網絡的影響主要體現(xiàn)在兩個方面:

  占用帶寬資源使網絡擁塞,造成網絡丟包、時延增大,嚴重時可導致網絡不可用;

  占用網絡設備系統(tǒng)資源(CPU、內存等),使網絡不能提供正常的服務。

  4. 異常流量的數據包類型

  常見的異常流量數據包形式有以下幾種:

  ?TCP SYN flood(40字節(jié))

  11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|

  1|40|1

  從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協(xié)議類型為6(TCP),數據流大小為40字節(jié)(通常為TCP的SYN連接請求)。

  ?ICMP flood

  2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|

  218359704|1

  從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協(xié)議類型為1(ICMP),單個數據流字節(jié)數達218M字節(jié)。

  ?UDP flood

  *.*.206.73|160.*.71.129|64621|Others|6|34|

  1812|1812|17|224|336000|1

  *.*.17.196|25.*.156.119|64621|Others|6|34|

  1029|137|17|1|78|1

  從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協(xié)議類型為17(UDP),數據流有大有小。

  ?其它類型

  其它類型的異常流量也會在網絡中經常見到,從理論上來講,任何正常的數據包形式如果被大量濫用,都會產生異常流量,如以下的DNS正常訪問請求數據包(協(xié)議類型53)如果大量發(fā)生,就會產生對DNS服務器的DoS攻擊。

  211.*.*.146|211.*.*.129|Others|Others|71|8|

  3227|53|53|1|59|1

 5. 異常流量的源、目的地址
  

關鍵詞標簽:NetFlow,網絡異常流量

相關閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設置地址 路由器地址大全-各品牌路由設置地址 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網站管理員服務器工具軟件 站長裝備:十大網站管理員服務器工具軟件

相關下載

    人氣排行 各品牌的ADSL與路由器出廠默認IP、帳號、密碼 路由器地址大全-各品牌路由設置地址 騰達路由器怎么設置?騰達路由器設置教程 ADSL雙線負載均衡設置詳細圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網管員實際工作的一天 網管必會!了解交換機控制端口流量