使用NetFlow分析网络异常流量

  212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|
  1|40|1
  6. 十分流量的源、目标端口阐发
  十分流量的源端口通常会随机天生，如下例数据：
  211.*.*.187|169.172.190.17|Others|localas|71|
  6|1663|445|6|3|144|1
  211.*.*.187|103.210.205.148|Others|localas|71|
  6|3647|445|6|3|144|1
  211.*.*.187|138.241.80.79|Others|localas|71|6|
  1570|445|6|3|144|1
  少数十分流量的目标端口固定在一个或几个端口，我们可以利用这一点，对十分流量举行过滤或限制，如下例数据，目标端口为UDP 6789：
  211.*.*.219|192.*.254.18|Others|Others|15|9|
  10000|6789|17|1|36|1
  211.*.*.219|192.*.254.19|Others|Others|15|9|
  10000|6789|17|2|72|2
  211.*.*.219|192.*.254.20|Others|Others|15|9|
  10000|6789|17|3|108|3
  四、利用NetFlow工具处理防范网络十分流量
  从某种水平上来讲，互联网十分流量永久不会消失而且从技术上现在没有根本的解决步伐，但对网管职员来说，可以利用许多妙技阐发十分流量，减小十分流量发生时带来的影响和损失，以下是处理网络十分流量时可以接纳的一些要领及工具：
  1. 判断十分流量流向
  由于现在少数网络设置装备摆设只提供物理端口入流量的NetFlow数据，以是采集十分流量NetFlow数据之前，起首要判断十分流量的流向，进而选择符合的物理端口去采集数据。
  流量监控办理软件是判断十分流量流向的有用工具，经过流量巨细变化的监控，可以资助我们发现十分流量，特别是大流量十分流量的流向，从而进一步查找十分流量的源、目标地址。
  现在最常用的流量监控工具是收费软件MRTG，下图为利用MRTG监测到的网络十分流量实例，可以看出被监测设置装备摆设端口在当天4：00至9：30之间产生了几十Mbps的十分流量，形成了该端口的拥塞（峰值流量被拉平）。
  如果可以或许将流量监测部署到全网，这样在雷同十分流量发生时，就能迅速找到十分流量的源或目标接入设置装备摆设端口，便于快速定位十分流量流向。
  有些十分流量发生时并不表现为大流量的产生，这种环境下，我们也可以综合十分流量发生时的别的征象判断其流向，如设置装备摆设端口的包转发速率、网络时延、丢包率、网络设置装备摆设的CPU利用率变化等要素。
  --------------------------------------------------------------------------------
  2. 采集阐发NetFlow数据
  判断十分流量的流向后，就可以选择符合的网络设置装备摆设端口，实施Neflow设置装备摆设，采集该端口入流量的NetFlow数据。
  以下是在Cisco GSR路由器GigabitEthernet10/0端口上翻开NetFlow的设置装备摆设实例：
  ip flow-export source Loopback0
  ip flow-export destination *.*.*.61 9995
  ip flow-sampling-mode packet-interval 100
  interface GigabitEthernet10/0
  ip route-cache flow sampled
  经过该设置装备摆设把流入到GigabitEthernet10/0的NetFlow数据送到NetFlow采集器*.*.*.61，该实例中接纳sampled模式，采样隔断为100:1。
  3. 处理十分流量的要领
  （1）切断毗连
  在可以或许确定十分流量源地址且该源地址设置装备摆设可控的环境下，切断十分流量源设置装备摆设的物理毗连是最间接的解决步伐。
  （2）过滤
  接纳ACL（Access Control List）过滤可以或许机动实现针对源目标IP地址、协议范例、端标语等种种情势的过滤，但同时也存在消耗网络设置装备摆设系统资源的反作用，下例为利用ACL过滤UDP 1434端口的实例：
  access-list 101 deny   udp any any eq 1434
  access-list 101 permit ip any any
  此过滤针对蠕虫王病毒（SQL Slammer），但同时也过滤了针对SQL Server的正常访问，如果要保证对SQL Server的正常访问，还可以根据病毒流数据包的巨细特性实施更细化的过滤计谋（本文略）。
  （3）静态空路由过滤
  能确定十分流量目标地址的环境下，可以用静态路由把十分流量的目标地址指向空（Null），这种过滤险些不用耗路由器系统资源，但同时也过滤了对目标地址的正常访问，设置装备摆设实例如下：
  ip route 205.*.*.2 255.255.255.255 Null 0
  对付多路由器的网络，还需增加相关静态路由设置装备摆设，保证过滤在全网见效。
  （4）十分流量限定
  利用路由器CAR功效，可以将十分流量限定在一定的范畴，这种过滤也存在消耗路由器系统资源的反作用，以下为利用CAR限制UDP 1434端口流量的设置装备摆设实例：
  Router# (config) access-list 150 deny udp any any eq 1434
  Router# (config) access-list 150 permit ip any any
  Router# (config) interface fastEthernet 0/0
  Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
  conform-action drop exceed-action drop
  此设置装备摆设限定UDP 1434端口的流量为8Kbps。
  五、常见蠕虫病毒的NetFlow阐发案例
  利用上诉要领可以阐发现在互联网中存在的大少数十分流量，特别是对付近年来在互联网中形成较大影响的少数蠕虫病毒，其阐发结果十分显着，以下为几种蠕虫病毒的NetFlow阐发实例：
  1. 红色代码 (Code Red Worm)
  2001年7月起发作，至今仍在网络流量中经常出现。
  211.*.*.237|192.*.148.107|65111|as1|6|72|
  3684|80|80|3|144|1
  211.*.*.237|192.*.141.167|65111|as1|6|36|
  4245|80|80|3|144|1
  211.*.*.237|160.*.84.142|65111|as1|6|72|
  4030|80|80|3|144|1
  NetFlow流数据典型特性：目标端口80, 协议范例80，包数目3，字节数144。
  2. 硬盘杀手（worm.opasoft，W32.Opaserv.Worm）
  2002年9月30日起发作，曾对许多网络设置装备摆设功能形成影响，2003年后逐渐淘汰。
  61.*.*.196|25.|*.156.106|64621|Others|6|36|
  1029|137|17|1|78|1
  61.*.*.196|25.*.156.107|64621|Others|6|36|
  1029|137|17|1|78|1
  61.*.*.196|25.*.156.108|64621|Others|6|36|
  1029|137|17|1|78|1
  NetFlow流数据典型特性：目标端口137，协议范例UDP，字节数78。
  3. 2003蠕虫王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)
  2003年1月25日起爆发，造玉成球互联网几近瘫痪，至今仍是互联网中最常见的十分流量之一。
  61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
  1434|17|1|404|1
  61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
  1434|17|1|404|1
  61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
  1434|17|1|404|1
  NetFlow流数据典型特性：目标端口1434，协议范例UDP，字节数404
  4. 打击波 (WORM.BLASTER，W32.Blaster.Worm)
  2003年8月12日起爆发，由其引发了危害更大的打击波杀手病毒。
  211.*.*.184|99.*.179.27|Others|Others|161|0|
  1523|135|6|1|48|1
  211.*.*.184|99.*.179.28|Others|Others|161|0|
  1525|135|6|1|48|1
  211.*.*.184|99.*.179.29|Others|Others|161|0|
  1527|135|6|1|48|1
  典型特性：目标端口135，协议范例TCP，字节数48
  5. 打击波杀手（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）
  2003年8月18日起发现，其产生的ICMP流量对环球互联网形成了很大影响，2004年后病毒流量显着淘汰。
  211.*.*.91|211.*.*.77|Others|Others|4|0|0|
  2048|1|1|92|1
  211.*.*.91|211.*.*.78|Others|Others|4|0|0|
  2048|1|1|92|1
  211.*.*.91|211.*.*.79|Others|Others|4|0|0|
  2048|1|1|92|1
  NetFlow流数据典型特性：目标端口2048，协议范例ICMP，字节数92
  6. 振荡波(Worm.Sasser，W32.Sasser)
  2004年5月爆发。
  61.*.*.*|32.*.70.207|Others|Others|3|0|10000|
  445|6|1|48|1
  61.*.*.*|24.*.217.23|Others|Others|3|0|10000|
  445|6|1|48|1
  61.*.*.*|221.*.65.84|Others|Others|3|0|10000|
  445|6|1|48|1
  NetFlow流数据典型特性：目标端口445，协议范例TCP，字节数48
  从以上案例可以看出，蠕虫爆发时，应用Neflow阐发要领，可以根据病毒流量的NetFlow特性快速定位感抱病毒的IP地址，并参考NetFlow数据流的别的特性在网络设置装备摆设上接纳相应的限制、过滤步伐，从而达到克制病毒流量传播的目标。
  六、总结
  处理阐发网络十分流量存在许多别的要领，如我们可以利用IDS、协议阐发仪、网络设置装备摆设的Log、Debug、ip accounting等功效查找十分流量泉源，但这些要领的应用因种种缘故原由遭到限制，如效率低、对网络设置装备摆设的功能影响、数据不易采集等要素。
  利用NetFlow阐发网络十分流量也存在一些限制条件，如需要网络设置装备摆设对NetFlow的支持，需要阐发NetFlow数据的工具软件，需要网络办理员正确区分正常流量数据和十分流量数据等。
  但相比别的要领，利用NetFlow阐发网络十分流量因其方便、快捷、高效的特点，为越来越多的网络办理员所接受，成为互联网安全办理的紧张本领，特别是在较大网络的办理中，更能表现出其独特优势。
  参考文献
  [1] NetFlow Overview
  [2] NetFlow Export Datagram Format
  [3]Customizing FlowCollector
  [4]SAFE SQL Slammer Worm Attack Mitigation
  [5]病毒与安全
 

文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明：原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。

TAG:

评论加载中... 内容： 评论者： 验证码：