关于联网异常流量的Netflow分析.docx

该【关于联网异常流量的Netflow分析 】是由【静雨蓝梦】上传分享，文档一共【13】页，该文档可以免费在线阅读，需要了解更多关于【关于联网异常流量的Netflow分析 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。联网异常流流量的Neetfloow分析(作者::曹铮))
曹铮(中中国联通数数据与固定定通信业务务部)
摘   要要  本文从互互联网运营营商的视角角,利用NNetfllow分析析手段,对对互联网异异常流量的的特征进行行了深入分分析,进而而提出如何何在网络层层面对互联联网异常流流量采取防防护措施,并并给出了近近年来一些些典型互联联网异常流流量的Neetfloow分析案案例。
关键键词   互联网网  异常流量量  Netfflow   流流量分析
DDoS/DDDoS   蠕蠕虫病毒
一一、前言
     近年年来,随着着互联网在在全球的迅迅速发展和和各种互联联网应用的的快速普及及,互联网网已成为人人们日常工工作生活中中不可或缺缺的信息承承载工具。然然而,伴随随着互联网网的正常应应用流量,网网络上形形形色色的异异常流量也也随之而来来,影响到到互联网的的正常运行行,威胁用用户主机的的安全和正正常使用。
    本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,其中重点讲述了Netflow分析在互联网异常流量防护中的应用及典型案例。
二、Netflow简介
    本文对互联网异常流量的特征分析主要基于Netflow数据,因此首先对Netflow做简单介绍。
    
    NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。
    一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
      
    针对路由器送出的Netflow数据,可以利用Netflow数据采集软件存储到服务器上,以便利用各种Netflow数据分析工具进行进一步的处理。
    Cisco提供了CiscoNetflowCollector(NFC)采集Netflow数据,其它许多厂家也提供类似的采集软件。
    :
      211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
    出于安全原因考虑,本文中出现的IP地址均经过处理。
    Netflow数据也可以在路由器上直接查看,以下为从CiscoGSR路由器采集的数据实例,:
    gsr#att2      (登录采集Netflow数据的GSR2槽板卡)
    LC-Slot2>shipcacheflow
    SrcIf  SrcIPaddress  DstIf  DstIPaddress  PrSrcPDstP  Pkts
    Gi2/1  219.*.*.229  PO4/2  217.*.*.228  0609CB168D  2
    Gi2/1  61.*.*.23  Null  63.*.*.246  11  0426059A    1
    本文中的Netflow数据分析均基于NFC采集的网络流量数据,针对路由器直接输出的Neflow数据,也可以采用类似方法分析。
      
    NFC可以定制多种Netflow数据采集格式,,本文的分析都基于这种格式。
    61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
    数据中各字段的含义如下:
    源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量
    
    Netflow主要由Cisco路由器支持,对于其它厂家的网络产品也有类似的功能,例如Juniper路由器支持sFlow功能。
    Netflow支持情况与路由器类型、板卡类型、IOS版本、IOS授权都有关系,不是在所有情况下都能使用,使用时需考虑自己的软硬件配置情况。
    本文的所有分析数据均基于采自Cisco路由器的Netflow数据。
三、互联网异常流量的Netflow分析
    要对互联网异常流量进行分析,首先要深入了解其产生原理及特征,以下将重点从Netflow数据角度,对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。
    
    目前,对互联网造成重大影响的异常流量主要有以下几种:
    (1)拒绝服务攻击(DoS)
    DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。
    例如DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。
    以下为一个典型的DoSSYN攻击的Netflow数据实例,该案例中多个伪造的源IP同时向一个目的IP发起TCPSYN攻击。  
    117.*.|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
    104.*.|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
    58.*.|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
    由于Internet协议本身的缺陷,IP包中的源地址是可以伪造的,现在的DoS工具很多可以伪装源地址,这也是不易追踪到攻击源主机的主要原因。
    (2)分布式拒绝服务攻击(DDoS)
    DDoS把DoS又发展了一步,将这种攻击行为自动化,分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击,在这种情况下,就会有一股拒绝服务洪流冲击网络,可能使被攻击目标因过载而崩溃。
    以下为一个典型的DDoS攻击的Netflow数据实例,该案例中多个IP同时向一个IP发起UDP攻击。  
    61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
    211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
    61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
    (3)网络蠕虫病毒流量
    网络蠕虫病毒的传播也会对网络产生影响。近年来,RedCode、SQLSlammer、冲击波、振荡波等病毒的相继爆发,不但对用户主机造成影响,而且对网络的正常运行也构成了的危害,因为这些病毒具有扫描网络,主动传播病毒的能力,会大量占用网络带宽或网络设备系统资源。
    以下为最近出现的振荡波病毒Netflow数据实例,该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求,其效果相当于对网络发起DoS攻击。
    61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
    61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
    61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
    (4)其它异常流量
      我们把其它能够影响网络正常运行的流量都归为异常流量的范畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。
      以下为一个IP对167.*.,针对UDP137端口扫描的Netflow数据实例:
      211.*.*.54|167.*.|65211|as3|2|10|1028|
137|17|1|78|1
      211.*.*.54|167.*.|65211|as3|2|10|
1028|137|17|1|78|1
      211.*.*.54|167.*.|65211|as3|2|10|
1028|137|17|1|78|1
    
    从异常流量流向来看,常见的异常流量可分为三种情况:
    •网外对本网内的攻击
    •本网内对网外的攻击
    •本网内对本网内的攻击
    针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的Netflow数据实例:
    124.*.|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
    211.*.*.54|167.*.|65211|as3|2|10|
1028|137|17|1|78|1
    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
    其中211开头的地址为本网地址。
    
    异常流量对网络的影响主要体现在两个方面:
    占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;
    占用网络设备系统资源(CPU、内存等),使网络不能提供正常的服务。
    
    常见的异常流量数据包形式有以下几种:
    •TCPSYNflood(40字节)
      11.*.|2.*.|64821|as10|5|4|1013|18|6|
1|40|1
    从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
    •ICMPflood
    2.*.|1.*.|as12|64811|5|2|0|0|1|146173|
218359704|1
    从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
    •UDPflood
    *.*.|160.*.|64621|Others|6|34|
1812|1812|17|224|336000|1
    *.*.|25.*.|64621|Others|6|34|
1029|137|17|1|78|1
    从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
    •其它类型
    其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
    211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
    、目的地址
    •目的地址为固定的真地址,这种情况下目的地址通常是被异常流量攻击的对象,如下例数据:
    211.*.*.153|*.|as2|as8|5|4|3844|10000|
17|2|3000|2
    211.*.*.153|*.|
as2|as8|5|4|3845|10000|17|1|1500|1
    211.*.*.153|*.|as2|as8|5|4|3846|10000|
17|1|1500|1
    •目的地址随机生成,如下例数据:
    211.*.*.187|169.*.|Others|localas|71|6|
1663|445|6|3|144|1
    211.*.*.187|103.*.|Others|localas|71|6|
3647|445|6|3|144|1
    211.*.*.187|138.*.|Others|localas|71|6|
1570|445|6|3|144|1
    •目的地址有规律变化,如下例数据,目的地址在顺序增加:
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|1|36|1
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|2|72|2
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|3|108|3
    •源地址为真实IP地址,数据同上例:
    •源地址为伪造地址,这种情况源地址通常随机生成,如下例数据,源地址都是伪造的网络地址:
    |209.*.*.38|as5|as4|3|7|1983|23|23|
1|40|1
    |209.*.*.38|as6|as4|3|7|1159|2046|6|
1|40|1
    |209.*.*.38|as7|as4|3|7|1140|3575|6|
1|40|1
    、目的端口分析
    •异常流量的源端口通常会随机生成,如下例数据:
    211.*.*.187||Others|localas|71|
6|1663|445|6|3|144|1
    211.*.*.187||Others|localas|71|
6|3647|445|6|3|144|1
    211.*.*.187||Others|localas|71|6|
1570|445|6|3|144|1
    •多数异常流量的目的端口固定在一个或几个端口,我们可以利用这一点,对异常流量进行过滤或限制,如下例数据,目的端口为UDP6789:
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|1|36|1
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|2|72|2
    211.*.*.219|192.*.|Others|Others|15|9|
10000|6789|17|3|108|3
四、利用Netflow工具处理防范网络异常流量
    从某种程度上来讲,互联网异常流量永远不会消失而且从技术上目前没有根本的解决办法,但对网管人员来说,可以利用许多技术手段分析异常流量,减小异常流量发生时带来的影响和
损失,以下是处理网络异常流量时可以采用的一些方法及工具:
    
    因为目前多数网络设备只提供物理端口入流量的Netflow数据,所以采集异常流量Netflow数据之前,首先要判断异常流量的流向,进而选择合适的物理端口去采集数据。
    流量监控管理软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助我们发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。
    目前最常用的流量监控工具是免费软件MRTG,下图为利用MRTG监测到的网络异常流量实例,可以看出被监测设备端口在当天4:00至9:30之间产生了几十Mbps的异常流量,造成了该端口的拥塞(峰值流量被拉平)。
    如果能够将流量监测部署到全网,这样在类似异常流量发生时,就能迅速找到异常流量的源或目标接入设备端口,便于快速定位异常流量流向。
    有些异常流量发生时并不体现为大流量的产生,这种情况下,我们也可以综合异常流量发生时的其它现象判断其流向,如设备端口的包转发速率、网络时延、丢包率、网络设备的CPU利用率变化等因素。    
    
    判断异常流量的流向后,就可以选择合适的网络设备端口,实施Neflow配置,采集该端口入流量的Netflow数据。
    以下是在CiscoGSR路由器GigabitEthernet10/0端口上打开Netflow的配置实例:
    ipflow-exportsourceLoopback0
    ipflow-exportdestination*.*.*.619995
    ipflow-sampling-modepacket-interval100
    interfaceGigabitEthernet10/0
    iproute-cacheflowsampled
    通过该配置把流入到GigabitEthernet10/0的Netflow数据送到Netflow采集器*.*.*.61,该实例中采用sampled模式,采样间隔为100:1。
      
    (1)切断连接
    在能够确定异常流量源地址且该源地址设备可控的情况下,切断异常流量源设备的物理连接是最直接的解决办法。
    (2)过滤
    采用ACL(AccessControlList)过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在消耗网络设备系统资源的副作用,下例为利用ACL过滤UDP1434端口的实例:
    access-list101deny  udpanyanyeq1434
    access-list101permitipanyany
    此过滤针对蠕虫王病毒(SQLSlammer),但同时也过滤了针对SQLServer的正常访问,如果要保证对SQLServer的正常访问,还可以根据病毒流数据包的大小特征实施更细化的过滤策略(本文略)。
    (3)静态空路由过滤
    能确定异常流量目标地址的情况下,可以用静态路由把异常流量的目标地址指向空(Null),这种过滤几乎不消耗路由器系统资源,但同时也过滤了对目标地址的正常访问,配置实例如下:
    iproute205.*.*.
    对于多路由器的网络,还需增加相关动态路由配置,保证过滤在全网生效。
    (4)异常流量限定
    利用路由器CAR功能,可以将异常流量限定在一定的范围,这种过滤也存在消耗路由器系统资源的副作用,以下为利用CAR限制UDP1434端口流量的配置实例:
    Router#(config)access-list150denyudpanyanyeq1434
    Router#(config)access-list150permitipanyany
    Router#(config)interfacefastEthernet0/0
    Router#(config-if)rate-limitinputaccess-grouprate-limit1508000150020000