怎样使用NetFlow分析网络异常流量一
生活随笔
收集整理的這篇文章主要介紹了
怎样使用NetFlow分析网络异常流量一
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
一、前言
近年來,隨著 互聯網在全球的迅速發展和各種 互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。然而,伴隨著互聯網的正常應用流量,網絡上形形色色的異常流量也隨之而來,影響到互聯網的正常運行,威脅用戶主機的 安全和正常使用。
本文從互聯網運營商的視角,對互聯網異常流量的特征進行了深入分析,進而提出如何在網絡層面對互聯網異常流量采取防護措施,其中重點講述了NetFlow分析在互聯網異常流量防護中的應用及典型案例。
二、NetFlow簡介
本文對互聯網異常流量的特征分析主要基于NetFlow數據,因此首先對NetFlow做簡單介紹。
1. NetFlow概念
NetFlow是一種數據 交換方式,其工作原理是:NetFlow利用標準的 交換模式處理數據流的第一個IP包數據,生成NetFlow 緩存,隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸,不再匹配相關的訪問控制等策略,NetFlow緩存同時包含了隨后數據流的統計信息。
一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流,且所有數據包具有共同的傳輸層源、目的端口號。
2. NetFlow數據采集
針對 路由器送出的NetFlow數據,可以利用NetFlow數據采集軟件 存儲到 服務器上,以便利用各種NetFlow數據分析工具進行進一步的處理。
Cisco提供了 Cisco NetFlow Collector(NFC)采集NetFlow數據,其它許多廠家也提供類似的采集軟件。
下例為利用NFC2.0采集的網絡流量數據實例:
211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
出于 安全原因考慮,本文中出現的IP地址均經過處理。
NetFlow數據也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數據實例,:
gsr #att 2 (登錄采集NetFlow數據的GSR 2槽板卡)
LC-Slot2>sh ip cache flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1
本文中的NetFlow數據分析均基于NFC采集的網絡流量數據,針對路由器直接輸出的Neflow數據,也可以采用類似方法分析。
3. NetFlow數據采集格式說明
NFC 可以定制多種NetFlow數據采集格式,下例為NFC2.0采集的一種流量數據實例,本文的分析都基于這種格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
數據中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口| 協議類型|包數量|字節數|流數量
4. 幾點說明
NetFlow主要由Cisco路由器支持,對于其它廠家的網絡產品也有類似的功能,例如Juniper路由器支持sFlow功能。
NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權都有關系,不是在所有情況下都能使用,使用時需考慮自己的軟硬件配置情況。
本文的所有分析數據均基于采自Cisco路由器的NetFlow數據。
三、互聯網異常流量的NetFlow分析
要對互聯網異常流量進行分析,首先要深入了解其產生原理及特征,以下將重點從NetFlow數據角度,對異常流量的種類、流向、產生后果、數據包類型、地址、端口等多個方面進行分析。
1. 異常流量的種類
目前,對互聯網造成重大影響的異常流量主要有以下幾種:
(1)拒絕服務攻擊(DoS)
DoS攻擊使用非正常的數據流量攻擊 網絡設備或其接入的 服務器,致使 網絡設備或服務器的性能下降,或占用網絡帶寬,影響其它相關用戶流量的正常通信,最終可能導致網絡服務的不可用。
例如DoS可以利用TCP 協議的缺陷,通過SYN打開半開的TCP連接,占用系統資源,使合法用戶被排斥而不能建立正常的TCP連接。
以下為一個典型的DoS SYN攻擊的NetFlow數據實例,該案例中多個偽造的源IP同時向一個目的IP發起TCP SYN攻擊。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet 協議本身的缺陷,IP包中的源地址是可以偽造的,現在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機的主要原因。
(2)分布式拒絕服務攻擊(DDoS)
DDoS把DoS又發展了一步,將這種攻擊行為自動化,分布式拒絕服務攻擊可以協調多臺計算機上的進程發起攻擊,在這種情況下,就會有一股拒絕服務洪流沖擊網絡,可能使被攻擊目標因過載而崩潰。
以下為一個典型的DDoS攻擊的NetFlow數據實例,該案例中多個IP同時向一個IP發起UDP攻擊。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
(3)網絡蠕蟲病毒流量
網絡蠕蟲病毒的傳播也會對網絡產生影響。近年來,Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發,不但對用戶主機造成影響,而且對網絡的正常運行也構成了的危害,因為這些病毒具有掃描網絡,主動傳播病毒的能力,會大量占用網絡帶寬或網絡設備系統資源。
以下為最近出現的振蕩波病毒NetFlow數據實例,該案例中一個IP同時向隨機生成的多個IP發起445端口的TCP連接請求,其效果相當于對網絡發起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
(4)其它異常流量
我們把其它能夠影響網絡正常運行的流量都歸為異常流量的范疇,例如一些網絡掃描工具產生的大量TCP連接請求,很容易使一個性能不高的網絡設備癱瘓。
以下為一個IP對167.*.210.網段,針對UDP 137端口掃描的NetFlow數據實例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
2. 異常流量流向分析
從異常流量流向來看,常見的異常流量可分為三種情況:
網外對本網內的攻擊
本網內對網外的攻擊
本網內對本網內的攻擊
針對不同的異常流量流向,需要采用不同的防護及處理策略,所以判斷異常流量流向是進一步防護的前提,以下為這三種情況的NetFlow數據實例:
124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
其中211開頭的地址為本網地址。
3. 異常流量產生的后果
異常流量對網絡的影響主要體現在兩個方面:
占用帶寬資源使網絡擁塞,造成網絡丟包、時延增大,嚴重時可導致網絡不可用;
占用網絡設備系統資源(CPU、內存等),使網絡不能提供正常的服務。
4. 異常流量的數據包類型
常見的異常流量數據包形式有以下幾種:
?TCP SYN flood(40字節)
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為6(TCP),數據流大小為40字節(通常為TCP的SYN連接請求)。
?ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為1(ICMP),單個數據流字節數達218M字節。
?UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為17(UDP),數據流有大有小。
?其它類型
其它類型的異常流量也會在網絡中經常見到,從理論上來講,任何正常的數據包形式如果被大量濫用,都會產生異常流量,如以下的DNS正常訪問請求數據包(協議類型53)如果大量發生,就會產生對DNS服務器的DoS攻擊。
211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
近年來,隨著 互聯網在全球的迅速發展和各種 互聯網應用的快速普及,互聯網已成為人們日常工作生活中不可或缺的信息承載工具。然而,伴隨著互聯網的正常應用流量,網絡上形形色色的異常流量也隨之而來,影響到互聯網的正常運行,威脅用戶主機的 安全和正常使用。
本文從互聯網運營商的視角,對互聯網異常流量的特征進行了深入分析,進而提出如何在網絡層面對互聯網異常流量采取防護措施,其中重點講述了NetFlow分析在互聯網異常流量防護中的應用及典型案例。
二、NetFlow簡介
本文對互聯網異常流量的特征分析主要基于NetFlow數據,因此首先對NetFlow做簡單介紹。
1. NetFlow概念
NetFlow是一種數據 交換方式,其工作原理是:NetFlow利用標準的 交換模式處理數據流的第一個IP包數據,生成NetFlow 緩存,隨后同樣的數據基于緩存信息在同一個數據流中進行傳輸,不再匹配相關的訪問控制等策略,NetFlow緩存同時包含了隨后數據流的統計信息。
一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸的單向數據包流,且所有數據包具有共同的傳輸層源、目的端口號。
2. NetFlow數據采集
針對 路由器送出的NetFlow數據,可以利用NetFlow數據采集軟件 存儲到 服務器上,以便利用各種NetFlow數據分析工具進行進一步的處理。
Cisco提供了 Cisco NetFlow Collector(NFC)采集NetFlow數據,其它許多廠家也提供類似的采集軟件。
下例為利用NFC2.0采集的網絡流量數據實例:
211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
出于 安全原因考慮,本文中出現的IP地址均經過處理。
NetFlow數據也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數據實例,:
gsr #att 2 (登錄采集NetFlow數據的GSR 2槽板卡)
LC-Slot2>sh ip cache flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1
本文中的NetFlow數據分析均基于NFC采集的網絡流量數據,針對路由器直接輸出的Neflow數據,也可以采用類似方法分析。
3. NetFlow數據采集格式說明
NFC 可以定制多種NetFlow數據采集格式,下例為NFC2.0采集的一種流量數據實例,本文的分析都基于這種格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
數據中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口| 協議類型|包數量|字節數|流數量
4. 幾點說明
NetFlow主要由Cisco路由器支持,對于其它廠家的網絡產品也有類似的功能,例如Juniper路由器支持sFlow功能。
NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權都有關系,不是在所有情況下都能使用,使用時需考慮自己的軟硬件配置情況。
本文的所有分析數據均基于采自Cisco路由器的NetFlow數據。
三、互聯網異常流量的NetFlow分析
要對互聯網異常流量進行分析,首先要深入了解其產生原理及特征,以下將重點從NetFlow數據角度,對異常流量的種類、流向、產生后果、數據包類型、地址、端口等多個方面進行分析。
1. 異常流量的種類
目前,對互聯網造成重大影響的異常流量主要有以下幾種:
(1)拒絕服務攻擊(DoS)
DoS攻擊使用非正常的數據流量攻擊 網絡設備或其接入的 服務器,致使 網絡設備或服務器的性能下降,或占用網絡帶寬,影響其它相關用戶流量的正常通信,最終可能導致網絡服務的不可用。
例如DoS可以利用TCP 協議的缺陷,通過SYN打開半開的TCP連接,占用系統資源,使合法用戶被排斥而不能建立正常的TCP連接。
以下為一個典型的DoS SYN攻擊的NetFlow數據實例,該案例中多個偽造的源IP同時向一個目的IP發起TCP SYN攻擊。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet 協議本身的缺陷,IP包中的源地址是可以偽造的,現在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機的主要原因。
(2)分布式拒絕服務攻擊(DDoS)
DDoS把DoS又發展了一步,將這種攻擊行為自動化,分布式拒絕服務攻擊可以協調多臺計算機上的進程發起攻擊,在這種情況下,就會有一股拒絕服務洪流沖擊網絡,可能使被攻擊目標因過載而崩潰。
以下為一個典型的DDoS攻擊的NetFlow數據實例,該案例中多個IP同時向一個IP發起UDP攻擊。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
(3)網絡蠕蟲病毒流量
網絡蠕蟲病毒的傳播也會對網絡產生影響。近年來,Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發,不但對用戶主機造成影響,而且對網絡的正常運行也構成了的危害,因為這些病毒具有掃描網絡,主動傳播病毒的能力,會大量占用網絡帶寬或網絡設備系統資源。
以下為最近出現的振蕩波病毒NetFlow數據實例,該案例中一個IP同時向隨機生成的多個IP發起445端口的TCP連接請求,其效果相當于對網絡發起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
(4)其它異常流量
我們把其它能夠影響網絡正常運行的流量都歸為異常流量的范疇,例如一些網絡掃描工具產生的大量TCP連接請求,很容易使一個性能不高的網絡設備癱瘓。
以下為一個IP對167.*.210.網段,針對UDP 137端口掃描的NetFlow數據實例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
2. 異常流量流向分析
從異常流量流向來看,常見的異常流量可分為三種情況:
網外對本網內的攻擊
本網內對網外的攻擊
本網內對本網內的攻擊
針對不同的異常流量流向,需要采用不同的防護及處理策略,所以判斷異常流量流向是進一步防護的前提,以下為這三種情況的NetFlow數據實例:
124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
其中211開頭的地址為本網地址。
3. 異常流量產生的后果
異常流量對網絡的影響主要體現在兩個方面:
占用帶寬資源使網絡擁塞,造成網絡丟包、時延增大,嚴重時可導致網絡不可用;
占用網絡設備系統資源(CPU、內存等),使網絡不能提供正常的服務。
4. 異常流量的數據包類型
常見的異常流量數據包形式有以下幾種:
?TCP SYN flood(40字節)
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為6(TCP),數據流大小為40字節(通常為TCP的SYN連接請求)。
?ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為1(ICMP),單個數據流字節數達218M字節。
?UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
從NetFlow的采集數據可以看出,此異常流量的典型特征是數據包協議類型為17(UDP),數據流有大有小。
?其它類型
其它類型的異常流量也會在網絡中經常見到,從理論上來講,任何正常的數據包形式如果被大量濫用,都會產生異常流量,如以下的DNS正常訪問請求數據包(協議類型53)如果大量發生,就會產生對DNS服務器的DoS攻擊。
211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
總結
以上是生活随笔為你收集整理的怎样使用NetFlow分析网络异常流量一的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: flex布局学习记录
- 下一篇: 据国外媒体Theverge称微软目前正计