?什么是NetFlow�����?
??????? 1. NetFlow概念
???? NetFlow是一種數(shù)據(jù)交換方式���,其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù),生成NetFlow 緩存����,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,不再匹配相關(guān)的訪問控制等策略����,NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。
一個(gè)NetFlow流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流��,且所有數(shù)據(jù)包具有共同的傳輸層源����、目的端口號(hào)。
2. NetFlow數(shù)據(jù)采集
針對(duì)路由器送出的NetFlow數(shù)據(jù)��,可以利用NetFlow數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上����,以便利用各種NetFlow數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。
Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow數(shù)據(jù)���,其它許多廠家也提供類似的采集軟件��。
下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實(shí)例:
211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
出于安全原因考慮�,本文中出現(xiàn)的IP地址均經(jīng)過處理�����。
NetFlow數(shù)據(jù)也可以在路由器上直接查看�,以下為從Cisco GSR路由器采集的數(shù)據(jù)實(shí)例,:
gsr #att 2 ?。ǖ卿洸杉疦etFlow數(shù)據(jù)的GSR 2槽板卡)
LC-Slot2>sh ip cache flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1
本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù),針對(duì)路由器直接輸出的Neflow數(shù)據(jù)��,也可以采用類似方法分析�����。
3. NetFlow數(shù)據(jù)采集格式說明
NFC 可以定制多種NetFlow數(shù)據(jù)采集格式���,下例為NFC2.0采集的一種流量數(shù)據(jù)實(shí)例��,本文的分析都基于這種格式��。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
數(shù)據(jù)中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號(hào)|流出接口號(hào)|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量
4. 幾點(diǎn)說明
NetFlow主要由Cisco路由器支持���,對(duì)于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類似的功能�����,例如Juniper路由器支持sFlow功能����。
NetFlow支持情況與路由器類型���、板卡類型�、IOS版本�、IOS授權(quán)都有關(guān)系,不是在所有情況下都能使用���,使用時(shí)需考慮自己的軟硬件配置情況��。
本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)����。
為什么要進(jìn)行Flow分析?
要對(duì)互聯(lián)網(wǎng)異常流量進(jìn)行分析�,首先要深入了解其產(chǎn)生原理及特征��,以下將重點(diǎn)從NetFlow數(shù)據(jù)角度����,對(duì)異常流量的種類、流向��、產(chǎn)生后果���、數(shù)據(jù)包類型���、地址、端口等多個(gè)方面進(jìn)行分析����。
目前,對(duì)互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:
拒絕服務(wù)攻擊(DoS)
DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器����,致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降,或占用網(wǎng)絡(luò)帶寬,影響其它相關(guān)用戶流量的正常通信���,最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用�。 例如DoS可以利用TCP協(xié)議的缺陷�����,通過SYN打開半開的TCP連接��,占用系統(tǒng)資源���,使合法用戶被排斥而不能建立正常的TCP連接����。 以下為一個(gè)典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實(shí)例��,該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊����。 117.*.68.45|211.*.*.49|Others|64851|3|2|10000| 10000|6|1|40|1 104.*.93.81|211.*.*.49|Others|64851|3|2|5557| 5928|6|1|40|1 58.*.255.108|211.*.*.49|Others|64851|3|2|3330| 10000|6|1|40|1 由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的��,現(xiàn)在的DoS工具很多可以偽裝源地址��,這也是不易追蹤到攻擊源主機(jī)的主要原因。
分布式拒絕服務(wù)攻擊(DDoS)
DDoS把DoS又發(fā)展了一步�,將這種攻擊行為自動(dòng)化,分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊�,在這種情況下,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)����,可能使被攻擊目標(biāo)因過載而崩潰���。 以下為一個(gè)典型的DDoS攻擊的NetFlow數(shù)據(jù)實(shí)例����,該案例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊����。 61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230| 17|6571|9856500|1 211.*.*.163|69.*.*.100|64751|as9|3|9|18423| 22731|17|906|1359000|1 61.*.*.145|69.*.*.100|64731|Others|2|0|52452| 22157|17|3|4500|1
網(wǎng)絡(luò)蠕蟲病毒流量
網(wǎng)絡(luò)蠕蟲病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響。近年來��,Red Code�、SQL Slammer、沖擊波��、振蕩波等病毒的相繼爆發(fā)�,不但對(duì)用戶主機(jī)造成影響,而且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害,因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò)�����,主動(dòng)傳播病毒的能力��,會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源�����。 以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實(shí)例���,該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求���,其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。 61.*.*.*|168.*.*.200|Others|Others|3|0|1186| 445|6|1|48|1 61.*.*.*|32.*.*.207|Others|Others|3|0|10000| 445|6|1|48|1 61.*.*.*|24.*.*.23|Others|Others|3|0|10000| 445|6|1|48|1
其它異常流量
我們把其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇�,例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求,很容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓���。 以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段��,針對(duì)UDP 137端口掃描的NetFlow數(shù)據(jù)實(shí)例: 211.*.*.54|167.*.210.95|65211|as3|2|10|1028| 137|17|1|78|1 211.*.*.54|167.*.210.100|65211|as3|2|10| 1028|137|17|1|78|1 211.*.*.54|167.*.210.103|65211|as3|2|10| 1028|137|17|1|78|1?目前���,對(duì)互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:
拒絕服務(wù)攻擊(DoS)
DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器�,致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降�����,或占用網(wǎng)絡(luò)帶寬����,影響其它相關(guān)用戶流量的正常通信,最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用�����。
例如DoS可以利用TCP協(xié)議的缺陷����,通過SYN打開半開的TCP連接��,占用系統(tǒng)資源�,使合法用戶被排斥而不能建立正常的TCP連接。
以下為一個(gè)典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實(shí)例�����,該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊���。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet協(xié)議本身的缺陷��,IP包中的源地址是可以偽造的���,現(xiàn)在的DoS工具很多可以偽裝源地址�,這也是不易追蹤到攻擊源主機(jī)的主要原因����。
分布式拒絕服務(wù)攻擊(DDoS)
DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動(dòng)化���,分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊��,在這種情況下��,就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)����,可能使被攻擊目標(biāo)因過載而崩潰�。
以下為一個(gè)典型的DDoS攻擊的NetFlow數(shù)據(jù)實(shí)例,該案例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊���。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
網(wǎng)絡(luò)蠕蟲病毒流量
網(wǎng)絡(luò)蠕蟲病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響�。近年來,Red Code���、SQL Slammer�����、沖擊波�����、振蕩波等病毒的相繼爆發(fā)�,不但對(duì)用戶主機(jī)造成影響����,而且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害���,因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò)���,主動(dòng)傳播病毒的能力,會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源�����。
以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實(shí)例,該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求����,其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
其它異常流量
我們把其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇��,例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求����,很容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。
以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段�����,針對(duì)UDP 137端口掃描的NetFlow數(shù)據(jù)實(shí)例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
為什么要用NetFlow進(jìn)行分析����??
??????? ?處理分析網(wǎng)絡(luò)異常流量存在許多其它方法,如我們可以利用IDS���、協(xié)議分析儀��、網(wǎng)絡(luò)設(shè)備的Log��、Debug��、ip accounting等功能查找異常流量來源�����,但這些方法的應(yīng)用因各種原因受到限制�����,如效率低�、對(duì)網(wǎng)絡(luò)設(shè)備的性能影響、數(shù)據(jù)不易采集等因素����。
? 利用NetFlow分析網(wǎng)絡(luò)異常流量也存在一些限制條件,如需要網(wǎng)絡(luò)設(shè)備對(duì)NetFlow的支持�,需要分析NetFlow數(shù)據(jù)的工具軟件,需要網(wǎng)絡(luò)管理員準(zhǔn)確區(qū)分正常流量數(shù)據(jù)和異常流量數(shù)據(jù)等�。
? 但相比其它方法,利用NetFlow分析網(wǎng)絡(luò)異常流量因其方便�����、快捷����、高效的特點(diǎn),為越來越多的網(wǎng)絡(luò)管理員所接受�,成為互聯(lián)網(wǎng)安全管理的重要手段,特別是在較大網(wǎng)絡(luò)的管理中�����,更能體現(xiàn)出其獨(dú)特優(yōu)勢(shì)�。
]]>