時間:2015-06-28 00:00:00 來源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評論(0)
一、前言
近年來,隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而,伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量,網(wǎng)絡(luò)上形形色色的異常流量也隨之而來,影響到互聯(lián)網(wǎng)的正常運行,威脅用戶主機的安全和正常使用。
本文從互聯(lián)網(wǎng)運營商的視角,對互聯(lián)網(wǎng)異常流量的特征進行了深入分析,進而提出如何在網(wǎng)絡(luò)層面對互聯(lián)網(wǎng)異常流量采取防護措施,其中重點講述了NetFlow分析在互聯(lián)網(wǎng)異常流量防護中的應(yīng)用及典型案例。
二、NetFlow簡介
本文對互聯(lián)網(wǎng)異常流量的特征分析主要基于NetFlow數(shù)據(jù),因此首先對NetFlow做簡單介紹。
1. NetFlow概念
NetFlow是一種數(shù)據(jù)交換方式,其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù),生成NetFlow 緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸,不再匹配相關(guān)的訪問控制等策略,NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。
一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。
2. NetFlow數(shù)據(jù)采集
針對路由器送出的NetFlow數(shù)據(jù),可以利用NetFlow數(shù)據(jù)采集軟件存儲到服務(wù)器上,以便利用各種NetFlow數(shù)據(jù)分析工具進行進一步的處理。
Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow數(shù)據(jù),其它許多廠家也提供類似的采集軟件。
下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實例:
211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
出于安全原因考慮,本文中出現(xiàn)的IP地址均經(jīng)過處理。
NetFlow數(shù)據(jù)也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數(shù)據(jù)實例,:
gsr #att 2(登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡)
LC-Slot2>sh ip cache flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A1
本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù),針對路由器直接輸出的Neflow數(shù)據(jù),也可以采用類似方法分析。
3. NetFlow數(shù)據(jù)采集格式說明
NFC 可以定制多種NetFlow數(shù)據(jù)采集格式,下例為NFC2.0采集的一種流量數(shù)據(jù)實例,本文的分析都基于這種格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
數(shù)據(jù)中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量
4. 幾點說明
NetFlow主要由Cisco路由器支持,對于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類似的功能,例如Juniper路由器支持sFlow功能。
NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權(quán)都有關(guān)系,不是在所有情況下都能使用,使用時需考慮自己的軟硬件配置情況。
本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)。
三、互聯(lián)網(wǎng)異常流量的NetFlow分析
要對互聯(lián)網(wǎng)異常流量進行分析,首先要深入了解其產(chǎn)生原理及特征,以下將重點從NetFlow數(shù)據(jù)角度,對異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個方面進行分析。
1. 異常流量的種類
目前,對互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:
(1)拒絕服務(wù)攻擊(DoS)
DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器,致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降,或占用網(wǎng)絡(luò)帶寬,影響其它相關(guān)用戶流量的正常通信,最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。
例如DoS可以利用TCP協(xié)議的缺陷,通過SYN打開半開的TCP連接,占用系統(tǒng)資源,使合法用戶被排斥而不能建立正常的TCP連接。
以下為一個典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實例,該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的,現(xiàn)在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機的主要原因。
(2)分布式拒絕服務(wù)攻擊(DDoS)
DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動化,分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺計算機上的進程發(fā)起攻擊,在這種情況下,就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò),可能使被攻擊目標(biāo)因過載而崩潰。
以下為一個典型的DDoS攻擊的NetFlow數(shù)據(jù)實例,該案例中多個IP同時向一個IP發(fā)起UDP攻擊。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
(3)網(wǎng)絡(luò)蠕蟲病毒流量
網(wǎng)絡(luò)蠕蟲病毒的傳播也會對網(wǎng)絡(luò)產(chǎn)生影響。近年來,Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā),不但對用戶主機造成影響,而且對網(wǎng)絡(luò)的正常運行也構(gòu)成了的危害,因為這些病毒具有掃描網(wǎng)絡(luò),主動傳播病毒的能力,會大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。
以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實例,該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求,其效果相當(dāng)于對網(wǎng)絡(luò)發(fā)起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
(4)其它異常流量
我們把其它能夠影響網(wǎng)絡(luò)正常運行的流量都?xì)w為異常流量的范疇,例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請求,很容易使一個性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。
以下為一個IP對167.*.210.網(wǎng)段,針對UDP 137端口掃描的NetFlow數(shù)據(jù)實例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
2. 異常流量流向分析
從異常流量流向來看,常見的異常流量可分為三種情況:
網(wǎng)外對本網(wǎng)內(nèi)的攻擊
本網(wǎng)內(nèi)對網(wǎng)外的攻擊
本網(wǎng)內(nèi)對本網(wǎng)內(nèi)的攻擊
針對不同的異常流量流向,需要采用不同的防護及處理策略,所以判斷異常流量流向是進一步防護的前提,以下為這三種情況的NetFlow數(shù)據(jù)實例:
124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
其中211開頭的地址為本網(wǎng)地址。
3. 異常流量產(chǎn)生的后果
異常流量對網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個方面:
占用帶寬資源使網(wǎng)絡(luò)擁塞,造成網(wǎng)絡(luò)丟包、時延增大,嚴(yán)重時可導(dǎo)致網(wǎng)絡(luò)不可用;
占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源(CPU、內(nèi)存等),使網(wǎng)絡(luò)不能提供正常的服務(wù)。
4. 異常流量的數(shù)據(jù)包類型
常見的異常流量數(shù)據(jù)包形式有以下幾種:
?TCP SYN flood(40字節(jié))
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為6(TCP),數(shù)據(jù)流大小為40字節(jié)(通常為TCP的SYN連接請求)。
?ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為1(ICMP),單個數(shù)據(jù)流字節(jié)數(shù)達218M字節(jié)。
?UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為17(UDP),數(shù)據(jù)流有大有小。
?其它類型
其它類型的異常流量也會在網(wǎng)絡(luò)中經(jīng)常見到,從理論上來講,任何正常的數(shù)據(jù)包形式如果被大量濫用,都會產(chǎn)生異常流量,如以下的DNS正常訪問請求數(shù)據(jù)包(協(xié)議類型53)如果大量發(fā)生,就會產(chǎn)生對DNS服務(wù)器的DoS攻擊。
211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
5. 異常流量的源、目的地址
關(guān)鍵詞標(biāo)簽:NetFlow,網(wǎng)絡(luò)異常流量
相關(guān)閱讀
熱門文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 Nslookup命令詳解-域名DNS診斷 站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達路由器怎么設(shè)置?騰達路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實際工作的一天 網(wǎng)管必會!了解交換機控制端口流量