使用NetFlow分析网络异常流量

  一、媒介
  近年来，随着互联网在环球的迅速发展和种种互联网应用的快速普及，互联网已成为人们一样平常事情生存中不行或缺的信息承载工具。但是，伴随着互联网的正常应用流量，网络上形形色色的十分流量也随之而来，影响到互联网的正常运转，威胁用户主机的安全和正常利用。
  本文从互联网运营商的视角，对互联网十分流量的特性举行了深入阐发，进而提出如安在网络层面临互联网十分流量接纳防护步伐，此中重点报告了NetFlow阐发在互联网十分流量防护中的应用及典型案例。
  二、NetFlow简介
  本文对互联网十分流量的特性阐发重要基于NetFlow数据，因而起首对NetFlow做简略介绍。
  1. NetFlow观点
  NetFlow是一种数据互换方法，其事情原理是：NetFlow利用标准的互换模式处理数据流的第一个IP包数据，天生NetFlow 缓存，随后异样的数据基于缓存信息在同一个数据流中举行传输，不再匹配相关的访问控制等计谋，NetFlow缓存同时包含了随后数据流的统计信息。
  一个NetFlow流界说为在一个源IP地址和目标IP地址间传输的单向数据包流，且全部数据包具有共同的传输层源、目标端标语。
  2. NetFlow数据采集
  针对路由器送出的NetFlow数据，可以利用NetFlow数据采集软件存储到服务器上，以方便用种种NetFlow数据阐发工具举行进一步的处理。
  Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow数据，别的许多厂家也提供雷同的采集软件。
  下例为利用NFC2.0采集的网络流量数据实例：
  211.*.*.57|202.*.*.12|Others|localas|9|6|2392
  |80|80|1|40|1
  出于安全缘故原由思量，本文中出现的IP地址均经过处理。
  NetFlow数据也可以在路由器上间接检察，以下为从Cisco GSR路由器采集的数据实例，：
  gsr #att 2        （登录采集NetFlow数据的GSR 2槽板卡）
  LC-Slot2>sh ip cache flow
  SrcIf  SrcIPaddress  DstIf  DstIPaddress  Pr SrcP DstP  Pkts
  Gi2/1  219.*.*.229  PO4/2  217.*.*.228  06 09CB 168D  2
  Gi2/1  61.*.*.23  Null  63.*.*.246  11  0426 059A     1
  本文中的NetFlow数据阐发均基于NFC采集的网络流量数据，针对路由器间接输入的Neflow数据，也可以接纳雷同要领阐发。
  3. NetFlow数据采集款式阐明
  NFC 可以定制多种NetFlow数据采集款式，下例为NFC2.0采集的一种流量数据实例，本文的阐发都基于这种款式。
  61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
  135|6|4|192|1
  数据中各字段的寄义如下：
  源地址|目标地址|源自治域|目标自治域|流入接标语|流出接标语|源端口|目标端口|协议范例|包数目|字节数|流数目
  4. 几点阐明
  NetFlow重要由Cisco路由器支持，对付别的厂家的网络产品也有雷同的功效，例如Juniper路由器支持sFlow功效。
  NetFlow支持环境与路由器范例、板卡范例、IOS版本、IOS授权都有关系，不是在全部环境下都能利用，利用时需思量本身的软硬件设置装备摆设环境。
  本文的全部阐发数据均基于采自Cisco路由器的NetFlow数据。
  三、互联网十分流量的NetFlow阐发
  要对互联网十分流量举行阐发，起首要深入相识其产生原理及特性，以下将重点从NetFlow数据角度，对十分流量的品种、流向、产生结果、数据包范例、地址、端口等多个方面举行阐发。
  1. 十分流量的品种
  现在，对互联网形成重大影响的十分流量重要有以下几种：
  （1）拒绝服务攻击（DoS）
  DoS攻击利用非正常的数据流量攻击网络设置装备摆设或其接入的服务器，致使网络设置装备摆设或服务器的功能降落，或占用网络带宽，影响别的相关用户流量的正常通讯，终极可能招致网络服务的不行用。
  例如DoS可以利用TCP协议的缺陷，经过SYN翻开半开的TCP毗连，占用系统资源，使合法用户被排斥而不能创建正常的TCP毗连。
  以下为一个典型的DoS SYN攻击的NetFlow数据实例，该案例中多个伪造的源IP同时向一个目标IP发起TCP SYN攻击。 
  117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
  10000|6|1|40|1
  104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
  5928|6|1|40|1
  58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
  10000|6|1|40|1
  由于Internet协议本身的缺陷，IP包中的源地址是可以伪造的，现在的DoS工具很多可以伪装源地址，这也是不易追踪到攻击源主机的重要缘故原由。
  （2）漫衍式拒绝服务攻击（DDoS）
  DDoS把DoS又发展了一步，将这种攻击行为自动化，漫衍式拒绝服务攻击可以和谐多台计算机上的进程发起攻击，在这种环境下，就会有一股拒绝服务洪流打击网络，可能使被攻击目标因过载而瓦解。
  以下为一个典型的DDoS攻击的NetFlow数据实例，该案例中多个IP同时向一个IP发起UDP攻击。 
  61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
  17|6571|9856500|1
  211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
  22731|17|906|1359000|1
  61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
  22157|17|3|4500|1
  （3）网络蠕虫病毒流量
  网络蠕虫病毒的传播也会对网络产生影响。近年来，Red Code、SQL Slammer、打击波、振荡波等病毒的相继爆发，不光对用户主机形成影响，而且对网络的正常运转也构成了的危害，由于这些病毒具有扫描网络，主动传播病毒的能力，会大量占用网络带宽或网络设置装备摆设系统资源。
  以下为最近出现的振荡波病毒NetFlow数据实例，该案例中一个IP同时向随机天生的多个IP发起445端口的TCP毗连请求，其结果相称于对网络发起DoS攻击。
  61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
  445|6|1|48|1
  61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
  445|6|1|48|1
  61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
  --------------------------------------------------------------------------------
  445|6|1|48|1
  （4）别的十分流量
  我们把别的可以或许影响网络正常运转的流量都归为十分流量的领域，例如一些网络扫描工具产生的大量TCP毗连请求，很容易使一个功能不高的网络设置装备摆设瘫痪。
  以下为一个IP对167.*.210.网段，针对UDP 137端口扫描的NetFlow数据实例：
  211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
  137|17|1|78|1
  211.*.*.54|167.*.210.100|65211|as3|2|10|
  1028|137|17|1|78|1
  211.*.*.54|167.*.210.103|65211|as3|2|10|
  1028|137|17|1|78|1
  2. 十分流量流向阐发
  从十分流量流向来看，常见的十分流量可分为三种环境：
  网外对本网内的攻击
  本网内对网外的攻击
  本网内对本网内的攻击
  针对差别的十分流量流向，需要接纳差别的防护及处理计谋，以是判断十分流量流向是进一步防护的条件，以下为这三种环境的NetFlow数据实例：
  124.*.148.110|211.*.*.49|Others|64851|3|2|
  10000|10000|6|1|40|1
  211.*.*.54|167.*.210.252|65211|as3|2|10|
  1028|137|17|1|78|1
  211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
  445|6|3|144|1
  此中211开头的地址为本网地址。
  3. 十分流量产生的结果
  十分流量对网络的影响重要表现在两个方面：
  占用带宽资源使网络拥塞，形成网络丢包、时延增大，严重时可招致网络不行用；
  占用网络设置装备摆设系统资源（CPU、内存等），使网络不能提供正常的服务。
  4. 十分流量的数据包范例
  常见的十分流量数据包情势有以下几种：
  ?TCP SYN flood（40字节）
  11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
  1|40|1
  从NetFlow的采集数据可以看出，此十分流量的典型特性是数据包协议范例为6（TCP），数据流巨细为40字节（通常为TCP的SYN毗连请求）。
  ?ICMP flood
  2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
  218359704|1
  从NetFlow的采集数据可以看出，此十分流量的典型特性是数据包协议范例为1（ICMP），单个数据流字节数达218M字节。
  ?UDP flood
  *.*.206.73|160.*.71.129|64621|Others|6|34|
  1812|1812|17|224|336000|1
  *.*.17.196|25.*.156.119|64621|Others|6|34|
  1029|137|17|1|78|1
  从NetFlow的采集数据可以看出，此十分流量的典型特性是数据包协议范例为17（UDP），数据流有大有小。
  ?别的范例
  别的范例的十分流量也会在网络中经常见到，从实际上来讲，任何正常的数据包情势如果被大量滥用，都会产生十分流量，如以下的DNS正常访问请求数据包（协议范例53）如果大量发生，就会产生对DNS服务器的DoS攻击。
  211.*.*.146|211.*.*.129|Others|Others|71|8|
  3227|53|53|1|59|1
  5. 十分流量的源、目标地址
  目标地址为固定的真地址，这种环境下目标地址通常是被十分流量攻击的工具，如下例数据：
  211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|
  17|2|3000|2
  211.*.*.153|*.10.72.226|
  as2|as8|5|4|3845|10000|17|1|1500|1
  211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|
  17|1|1500|1
  目标地址随机天生，如下例数据：
  211.*.*.187|169.*.190.17|Others|localas|71|6|
  1663|445|6|3|144|1
  211.*.*.187|103.*.205.148|Others|localas|71|6|
  3647|445|6|3|144|1
  211.*.*.187|138.*.80.79|Others|localas|71|6|
  1570|445|6|3|144|1
  目标地址有纪律变化，如下例数据，目标地址在次序增加：
  211.*.*.219|192.*.254.18|Others|Others|15|9|
  10000|6789|17|1|36|1
  211.*.*.219|192.*.254.19|Others|Others|15|9|
  10000|6789|17|2|72|2
  211.*.*.219|192.*.254.20|Others|Others|15|9|
  10000|6789|17|3|108|3
  源地址为真实IP地址，数据同上例：
  源地址为伪造地址，这种环境源地址通常随机天生，如下例数据，源地址都是伪造的网络地址：
  63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|
  1|40|1
  12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|
  1|40|1

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

评论加载中... 内容： 评论者： 验证码：