[摘要] 本文從互聯(lián)網(wǎng)運(yùn)營(yíng)商的視角,利用
NetFlow
分析手段,對(duì)互聯(lián)網(wǎng)異常流量的特征進(jìn)行了深入分析,進(jìn)而提出如何在網(wǎng)絡(luò)層面對(duì)互聯(lián)網(wǎng)異常流量采取防護(hù)措施,并給出了近年來(lái)一些典型互聯(lián)網(wǎng)異常流量的
NetFlow
分析案例。
關(guān)鍵詞:互聯(lián)網(wǎng) 異常流量
NetFlow
流量分析 DoS/DDoS?蠕蟲(chóng)病毒
一、前言
?????? 近年來(lái),隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及,互聯(lián)網(wǎng)已成為人們?nèi)粘9ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而,伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量,網(wǎng)絡(luò)上形形色色的異常流量也隨之而來(lái),影響到互聯(lián)網(wǎng)的正常運(yùn)行,威脅用戶主機(jī)的安全和正常使用。
?????? 本文從互聯(lián)網(wǎng)運(yùn)營(yíng)商的視角,對(duì)互聯(lián)網(wǎng)異常流量的特征進(jìn)行了深入分析,進(jìn)而提出如何在網(wǎng)絡(luò)層面對(duì)互聯(lián)網(wǎng)異常流量采取防護(hù)措施,其中重點(diǎn)講述了
NetFlow
分析在互聯(lián)網(wǎng)異常流量防護(hù)中的應(yīng)用及典型案例。
二、
NetFlow
簡(jiǎn)介
?????? 本文對(duì)互聯(lián)網(wǎng)異常流量的特征分析主要基于
NetFlow
數(shù)據(jù),因此首先對(duì)
NetFlow
做簡(jiǎn)單介紹。
?????? 1.
NetFlow
概念
??????
NetFlow
是一種數(shù)據(jù)交換方式,其工作原理是:
NetFlow
利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù),生成
NetFlow
緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,不再匹配相關(guān)的訪問(wèn)控制等策略,
NetFlow
緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。
?????? 一個(gè)
NetFlow
流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。
?
??????? 2.
NetFlow
數(shù)據(jù)采集
?????? 針對(duì)路由器送出的
NetFlow
數(shù)據(jù),可以利用
NetFlow
數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上,以便利用各種
NetFlow
數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。
?????? Cisco提供了Cisco
NetFlow
Collector(NFC)采集
NetFlow
數(shù)據(jù),其它許多廠家也提供類(lèi)似的采集軟件。
?????? 下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)例:
??????? 211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
?????? 出于安全原因考慮,本文中出現(xiàn)的IP地址均經(jīng)過(guò)處理。
??????
NetFlow
數(shù)據(jù)也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數(shù)據(jù)實(shí)例,:
?????? gsr #att 2??????? (登錄采集
NetFlow
數(shù)據(jù)的GSR 2槽板卡)
?????? LC-Slot2>sh ip cache flow
?????? SrcIf? SrcIPaddress? DstIf? DstIPaddress? Pr SrcP DstP? Pkts
?????? Gi2/1? 219.*.*.229? PO4/2? 217.*.*.228? 06 09CB 168D? 2
?????? Gi2/1? 61.*.*.23? Null? 63.*.*.246? 11? 0426 059A???? 1
?????? 本文中的
NetFlow
數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù),針對(duì)路由器直接輸出的Neflow數(shù)據(jù),也可以采用類(lèi)似方法分析。
??????? 3.
NetFlow
數(shù)據(jù)采集格式說(shuō)明
?????? NFC 可以定制多種
NetFlow
數(shù)據(jù)采集格式,下例為NFC2.0采集的一種流量數(shù)據(jù)實(shí)例,本文的分析都基于這種格式。
?????? 61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
?????? 數(shù)據(jù)中各字段的含義如下:
?????? 源地址|目的地址|源自治域|目的自治域|流入接口號(hào)|流出接口號(hào)|源端口|目的端口|協(xié)議類(lèi)型|包數(shù)量|字節(jié)數(shù)|流數(shù)量
?????? 4. 幾點(diǎn)說(shuō)明
??????
NetFlow
主要由Cisco路由器支持,對(duì)于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類(lèi)似的功能,例如Juniper路由器支持sFlow功能。
??????
NetFlow
支持情況與路由器類(lèi)型、板卡類(lèi)型、IOS版本、IOS授權(quán)都有關(guān)系,不是在所有情況下都能使用,使用時(shí)需考慮自己的軟硬件配置情況。
?????? 本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的
NetFlow
數(shù)據(jù)。
?
三、互聯(lián)網(wǎng)異常流量的
NetFlow
分析
?????? 要對(duì)互聯(lián)網(wǎng)異常流量進(jìn)行分析,首先要深入了解其產(chǎn)生原理及特征,以下將重點(diǎn)從
NetFlow
數(shù)據(jù)角度,對(duì)異常流量的種類(lèi)、流向、產(chǎn)生后果、數(shù)據(jù)包類(lèi)型、地址、端口等多個(gè)方面進(jìn)行分析。
?????? 1. 異常流量的種類(lèi)
?????? 目前,對(duì)互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:
?????? (1)拒絕服務(wù)攻擊(DoS)
?????? DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器,致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降,或占用網(wǎng)絡(luò)帶寬,影響其它相關(guān)用戶流量的正常通信,最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。
?????? 例如DoS可以利用TCP協(xié)議的缺陷,通過(guò)SYN打開(kāi)半開(kāi)的TCP連接,占用系統(tǒng)資源,使合法用戶被排斥而不能建立正常的TCP連接。
?????? 以下為一個(gè)典型的DoS SYN攻擊的
NetFlow
數(shù)據(jù)實(shí)例,該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊。?
?????? 117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
?????? 104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
?????? 58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
?????? 由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的,現(xiàn)在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機(jī)的主要原因。
?????? (2)分布式拒絕服務(wù)攻擊(DDoS)
?????? DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動(dòng)化,分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊,在這種情況下,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò),可能使被攻擊目標(biāo)因過(guò)載而崩潰。
?????? 以下為一個(gè)典型的DDoS攻擊的
NetFlow
數(shù)據(jù)實(shí)例,該案例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊。?
?????? 61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
?????? 211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
?????? 61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
?????? (3)網(wǎng)絡(luò)蠕蟲(chóng)病毒流量
?????? 網(wǎng)絡(luò)蠕蟲(chóng)病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響。近年來(lái),Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā),不但對(duì)用戶主機(jī)造成影響,而且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害,因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò),主動(dòng)傳播病毒的能力,會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。
?????? 以下為最近出現(xiàn)的振蕩波病毒
NetFlow
數(shù)據(jù)實(shí)例,該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求,其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。
?????? 61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
?????? 61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
?????? 61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
?????? (4)其它異常流量
??????? 我們把其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇,例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求,很容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。
??????? 以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段,針對(duì)UDP 137端口掃描的
NetFlow
數(shù)據(jù)實(shí)例:
????????? 211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
????????? 211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
????????? 211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
?
?????? 2. 異常流量流向分析
?????? 從異常流量流向來(lái)看,常見(jiàn)的異常流量可分為三種情況:
?????? ?網(wǎng)外對(duì)本網(wǎng)內(nèi)的攻擊
?????? ?本網(wǎng)內(nèi)對(duì)網(wǎng)外的攻擊
?????? ?本網(wǎng)內(nèi)對(duì)本網(wǎng)內(nèi)的攻擊
?????? 針對(duì)不同的異常流量流向,需要采用不同的防護(hù)及處理策略,所以判斷異常流量流向是進(jìn)一步防護(hù)的前提,以下為這三種情況的
NetFlow
數(shù)據(jù)實(shí)例:
?????? 124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
?????? 211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
?????? 211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
?????? 其中211開(kāi)頭的地址為本網(wǎng)地址。
?
?????? 3. 異常流量產(chǎn)生的后果
?????? 異常流量對(duì)網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個(gè)方面:
?????? 占用帶寬資源使網(wǎng)絡(luò)擁塞,造成網(wǎng)絡(luò)丟包、時(shí)延增大,嚴(yán)重時(shí)可導(dǎo)致網(wǎng)絡(luò)不可用;
?????? 占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源(CPU、內(nèi)存等),使網(wǎng)絡(luò)不能提供正常的服務(wù)。
?
?????? 4. 異常流量的數(shù)據(jù)包類(lèi)型
?????? 常見(jiàn)的異常流量數(shù)據(jù)包形式有以下幾種:
?????? ?TCP SYN flood(40字節(jié))
??????? 11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
?????? 從
NetFlow
的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為6(TCP),數(shù)據(jù)流大小為40字節(jié)(通常為T(mén)CP的SYN連接請(qǐng)求)。
?????? ?ICMP flood
?????? 2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
?????? 從
NetFlow
的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為1(ICMP),單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。
?????? ?UDP flood
?????? *.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
?????? *.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
?????? 從
NetFlow
的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為17(UDP),數(shù)據(jù)流有大有小。
?????? ?其它類(lèi)型
?????? 其它類(lèi)型的異常流量也會(huì)在網(wǎng)絡(luò)中經(jīng)常見(jiàn)到,從理論上來(lái)講,任何正常的數(shù)據(jù)包形式如果被大量濫用,都會(huì)產(chǎn)生異常流量,如以下的DNS正常訪問(wèn)請(qǐng)求數(shù)據(jù)包(協(xié)議類(lèi)型53)如果大量發(fā)生,就會(huì)產(chǎn)生對(duì)DNS服務(wù)器的DoS攻擊。
?????? 211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
?
?????? 5. 異常流量的源、目的地址
?????? ?目的地址為固定的真地址,這種情況下目的地址通常是被異常流量攻擊的對(duì)象,如下例數(shù)據(jù):
?????? 211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|
17|2|3000|2
?????? 211.*.*.153|*.10.72.226|
as2|as8|5|4|3845|10000|17|1|1500|1
?????? 211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|
17|1|1500|1
?????? ?目的地址隨機(jī)生成,如下例數(shù)據(jù):
?????? 211.*.*.187|169.*.190.17|Others|localas|71|6|
1663|445|6|3|144|1
?????? 211.*.*.187|103.*.205.148|Others|localas|71|6|
3647|445|6|3|144|1
?????? 211.*.*.187|138.*.80.79|Others|localas|71|6|
1570|445|6|3|144|1
?????? ?目的地址有規(guī)律變化,如下例數(shù)據(jù),目的地址在順序增加:
?????? 211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
?????? 211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
?????? 211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
?????? ?源地址為真實(shí)IP地址,數(shù)據(jù)同上例:
?????? ?源地址為偽造地址,這種情況源地址通常隨機(jī)生成,如下例數(shù)據(jù),源地址都是偽造的網(wǎng)絡(luò)地址:
?????? 63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|
1|40|1
?????? 12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|
1|40|1
?????? 212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|
1|40|1
?
?????? 6. 異常流量的源、目的端口分析
?????? ?異常流量的源端口通常會(huì)隨機(jī)生成,如下例數(shù)據(jù):
?????? 211.*.*.187|169.172.190.17|Others|localas|71|
6|1663|445|6|3|144|1
?????? 211.*.*.187|103.210.205.148|Others|localas|71|
6|3647|445|6|3|144|1
?????? 211.*.*.187|138.241.80.79|Others|localas|71|6|
1570|445|6|3|144|1
?????? ?多數(shù)異常流量的目的端口固定在一個(gè)或幾個(gè)端口,我們可以利用這一點(diǎn),對(duì)異常流量進(jìn)行過(guò)濾或限制,如下例數(shù)據(jù),目的端口為UDP 6789:
?????? 211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
?????? 211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
?????? 211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
?
四、利用
NetFlow
工具處理防范網(wǎng)絡(luò)異常流量
?????? 從某種程度上來(lái)講,互聯(lián)網(wǎng)異常流量永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒(méi)有根本的解決辦法,但對(duì)網(wǎng)管人員來(lái)說(shuō),可以利用許多技術(shù)手段分析異常流量,減小異常流量發(fā)生時(shí)帶來(lái)的影響和損失,以下是處理網(wǎng)絡(luò)異常流量時(shí)可以采用的一些方法及工具:
????? 1. 判斷異常流量流向
?????? 因?yàn)槟壳岸鄶?shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的
NetFlow
數(shù)據(jù),所以采集異常流量
NetFlow
數(shù)據(jù)之前,首先要判斷異常流量的流向,進(jìn)而選擇合適的物理端口去采集數(shù)據(jù)。
?????? 流量監(jiān)控管理軟件是判斷異常流量流向的有效工具,通過(guò)流量大小變化的監(jiān)控,可以幫助我們發(fā)現(xiàn)異常流量,特別是大流量異常流量的流向,從而進(jìn)一步查找異常流量的源、目的地址。
?????? 目前最常用的流量監(jiān)控工具是免費(fèi)軟件MRTG,下圖為利用MRTG監(jiān)測(cè)到的網(wǎng)絡(luò)異常流量實(shí)例,可以看出被監(jiān)測(cè)設(shè)備端口在當(dāng)天4:00至9:30之間產(chǎn)生了幾十Mbps的異常流量,造成了該端口的擁塞(峰值流量被拉平)。
?????? 如果能夠?qū)⒘髁勘O(jiān)測(cè)部署到全網(wǎng),這樣在類(lèi)似異常流量發(fā)生時(shí),就能迅速找到異常流量的源或目標(biāo)接入設(shè)備端口,便于快速定位異常流量流向。
?????? 有些異常流量發(fā)生時(shí)并不體現(xiàn)為大流量的產(chǎn)生,這種情況下,我們也可以綜合異常流量發(fā)生時(shí)的其它現(xiàn)象判斷其流向,如設(shè)備端口的包轉(zhuǎn)發(fā)速率、網(wǎng)絡(luò)時(shí)延、丟包率、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素。??????
?
?????? 2. 采集分析
NetFlow
數(shù)據(jù)
?????? 判斷異常流量的流向后,就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口,實(shí)施Neflow配置,采集該端口入流量的
NetFlow
數(shù)據(jù)。
?????? 以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開(kāi)
NetFlow
的配置實(shí)例:
?????? ip flow-export source Loopback0
?????? ip flow-export destination *.*.*.61 9995
?????? ip flow-sampling-mode packet-interval 100
?????? interface GigabitEthernet10/0
?????? ip route-cache flow sampled
?????? 通過(guò)該配置把流入到GigabitEthernet10/0的
NetFlow
數(shù)據(jù)送到
NetFlow
采集器*.*.*.61,該實(shí)例中采用sampled模式,采樣間隔為100:1。
??????? 3. 處理異常流量的方法
?????? (1)切斷連接
?????? 在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下,切斷異常流量源設(shè)備的物理連接是最直接的解決辦法。
?????? (2)過(guò)濾
?????? 采用ACL(Access Control List)過(guò)濾能夠靈活實(shí)現(xiàn)針對(duì)源目的IP地址、協(xié)議類(lèi)型、端口號(hào)等各種形式的過(guò)濾,但同時(shí)也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用,下例為利用ACL過(guò)濾UDP 1434端口的實(shí)例:
?????? access-list 101 deny?? udp any any eq 1434
?????? access-list 101 permit ip any any
?????? 此過(guò)濾針對(duì)蠕蟲(chóng)王病毒(SQL Slammer),但同時(shí)也過(guò)濾了針對(duì)SQL Server的正常訪問(wèn),如果要保證對(duì)SQL Server的正常訪問(wèn),還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實(shí)施更細(xì)化的過(guò)濾策略(本文略)。
?????? (3)靜態(tài)空路由過(guò)濾
?????? 能確定異常流量目標(biāo)地址的情況下,可以用靜態(tài)路由把異常流量的目標(biāo)地址指向空(Null),這種過(guò)濾幾乎不消耗路由器系統(tǒng)資源,但同時(shí)也過(guò)濾了對(duì)目標(biāo)地址的正常訪問(wèn),配置實(shí)例如下:
?????? ip route 205.*.*.2 255.255.255.255 Null 0
?????? 對(duì)于多路由器的網(wǎng)絡(luò),還需增加相關(guān)動(dòng)態(tài)路由配置,保證過(guò)濾在全網(wǎng)生效。
?????? (4)異常流量限定
?????? 利用路由器CAR功能,可以將異常流量限定在一定的范圍,這種過(guò)濾也存在消耗路由器系統(tǒng)資源的副作用,以下為利用CAR限制UDP 1434端口流量的配置實(shí)例:
?????? Router# (config) access-list 150 deny udp any any eq 1434
?????? Router# (config) access-list 150 permit ip any any
?????? Router# (config) interface fastEthernet 0/0
?????? Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
?????? conform-action drop exceed-action drop
?????? 此配置限定UDP 1434端口的流量為8Kbps。
?
五、常見(jiàn)蠕蟲(chóng)病毒的
NetFlow
分析案例
?????? 利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量,特別是對(duì)于近年來(lái)在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲(chóng)病毒,其分析效果非常明顯,以下為幾種蠕蟲(chóng)病毒的
NetFlow
分析實(shí)例:
?????? 1. 紅色代碼 (Code Red Worm)
?????? 2001年7月起發(fā)作,至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)。
??????? 211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
??????? 211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
??????? 211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
??????
NetFlow
流數(shù)據(jù)典型特征:目的端口80, 協(xié)議類(lèi)型80,包數(shù)量3,字節(jié)數(shù)144。
?????? 2. 硬盤(pán)殺手(worm.opasoft,W32.Opaserv.Worm)
??????? 2002年9月30日起發(fā)作,曾對(duì)許多網(wǎng)絡(luò)設(shè)備性能造成影響,2003年后逐漸減少。
??????? 61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
??????? 61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
??????? 61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
??????
NetFlow
流數(shù)據(jù)典型特征:目的端口137,協(xié)議類(lèi)型UDP,字節(jié)數(shù)78。
??????? 3. 2003蠕蟲(chóng)王 (Worm.NetKiller2003,WORM_SQLP1434,W32.Slammer,W32.SQLExp.Worm)
?????? 2003年1月25日起爆發(fā),造成全球互聯(lián)網(wǎng)幾近癱瘓,至今仍是互聯(lián)網(wǎng)中最常見(jiàn)的異常流量之一。
??????? 61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
??????? 61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
??????? 61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
??????
NetFlow
流數(shù)據(jù)典型特征:目的端口1434,協(xié)議類(lèi)型UDP,字節(jié)數(shù)404
?????? 4. 沖擊波 (WORM.BLASTER,W32.Blaster.Worm)
?????? 2003年8月12日起爆發(fā),由其引發(fā)了危害更大的沖擊波殺手病毒。
??????? 211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
??????? 211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
??????? 211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
?????? 典型特征:目的端口135,協(xié)議類(lèi)型TCP,字節(jié)數(shù)48
?????? 5. 沖擊波殺手(Worm.KillMsBlast,W32.Nachi.worm,W32.Welchia.Worm)
?????? 2003年8月18日起發(fā)現(xiàn),其產(chǎn)生的ICMP流量對(duì)全球互聯(lián)網(wǎng)造成了很大影響,2004年后病毒流量明顯減少。
?????? 211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
??????? 211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
??????? 211.*.*.91|211.*.*.79|Others|Others|4|0|0|
2048|1|1|92|1
??????
NetFlow
流數(shù)據(jù)典型特征:目的端口2048,協(xié)議類(lèi)型ICMP,字節(jié)數(shù)92
?????? 6. 振蕩波(Worm.Sasser,W32.Sasser)
?????? 2004年5月爆發(fā)。
?????? 61.*.*.*|32.*.70.207|Others|Others|3|0|10000|
445|6|1|48|1
?????? 61.*.*.*|24.*.217.23|Others|Others|3|0|10000|
445|6|1|48|1
?????? 61.*.*.*|221.*.65.84|Others|Others|3|0|10000|
445|6|1|48|1
??????
NetFlow
流數(shù)據(jù)典型特征:目的端口445,協(xié)議類(lèi)型TCP,字節(jié)數(shù)48
?????? 從以上案例可以看出,蠕蟲(chóng)爆發(fā)時(shí),應(yīng)用Neflow分析方法,可以根據(jù)病毒流量的
NetFlow
特征快速定位感染病毒的IP地址,并參考
NetFlow
數(shù)據(jù)流的其它特征在網(wǎng)絡(luò)設(shè)備上采取相應(yīng)的限制、過(guò)濾措施,從而達(dá)到抑制病毒流量傳播的目的。
?
六、總結(jié)
?????? 處理分析網(wǎng)絡(luò)異常流量存在許多其它方法,如我們可以利用IDS、協(xié)議分析儀、網(wǎng)絡(luò)設(shè)備的Log、Debug、ip accounting等功能查找異常流量來(lái)源,但這些方法的應(yīng)用因各種原因受到限制,如效率低、對(duì)網(wǎng)絡(luò)設(shè)備的性能影響、數(shù)據(jù)不易采集等因素。
?????? 利用
NetFlow
分析網(wǎng)絡(luò)異常流量也存在一些限制條件,如需要網(wǎng)絡(luò)設(shè)備對(duì)
NetFlow
的支持,需要分析
NetFlow
數(shù)據(jù)的工具軟件,需要網(wǎng)絡(luò)管理員準(zhǔn)確區(qū)分正常流量數(shù)據(jù)和異常流量數(shù)據(jù)等。
但相比其它方法,利用
NetFlow
分析網(wǎng)絡(luò)異常流量因其方便、快捷、高效的特點(diǎn),為越來(lái)越多的網(wǎng)絡(luò)管理員所接受,成為互聯(lián)網(wǎng)安全管理的重要手段,特別是在較大網(wǎng)絡(luò)的管理中,更能體現(xiàn)出其獨(dú)特優(yōu)勢(shì)。
參考文獻(xiàn)
[1]
NetFlow
Overview
[2]
NetFlow
Export Datagram Format
[3]Customizing FlowCollector
[4]SAFE SQL Slammer Worm Attack Mitigation
[5]病毒與安全