使用NetFlow分析網(wǎng)絡(luò)異常流量

1、一、前言    近年來，隨著互聯(lián)網(wǎng)在全球的迅速發(fā)展和各種互聯(lián)網(wǎng)應(yīng)用的快速普及，互聯(lián)網(wǎng)已成為人們?nèi)粘９ぷ魃钪胁豢苫蛉钡男畔⒊休d工具。然而，伴隨著互聯(lián)網(wǎng)的正常應(yīng)用流量，網(wǎng)絡(luò)上形形色色的異常流量也隨之而來，影響到互聯(lián)網(wǎng)的正常運行，威脅用戶主機的安全和正常使用。    本文從互聯(lián)網(wǎng)運營商的視角，對互聯(lián)網(wǎng)異常流量的特征進行了深入分析，進而提出如何在網(wǎng)絡(luò)層面對互聯(lián)網(wǎng)異常流量采取防護措施，其中重點講述了NetFlow分析在互聯(lián)網(wǎng)異常流量防護中的應(yīng)用及典型案例。二、NetFlow簡介    

2、;本文對互聯(lián)網(wǎng)異常流量的特征分析主要基于NetFlow數(shù)據(jù)，因此首先對NetFlow做簡單介紹。    1. NetFlow概念    NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標準的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。     一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯?/p>

3、向數(shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。    2. NetFlow數(shù)據(jù)采集    針對路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件存儲到服務(wù)器上，以便利用各種NetFlow數(shù)據(jù)分析工具進行進一步的處理。    Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow數(shù)據(jù)，其它許多廠家也提供類似的采集軟件。    下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實例：

4、60;   211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1    出于安全原因考慮，本文中出現(xiàn)的IP地址均經(jīng)過處理。    NetFlow數(shù)據(jù)也可以在路由器上直接查看，以下為從Cisco GSR路由器采集的數(shù)據(jù)實例，：    gsr #att 2     （登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡）  &

5、#160; LC-Slot2>sh ip cache flow    SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts    Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2     Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A   1    &

6、#160;本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù)，針對路由器直接輸出的Neflow數(shù)據(jù)，也可以采用類似方法分析。    3. NetFlow數(shù)據(jù)采集格式說明    NFC 可以定制多種NetFlow數(shù)據(jù)采集格式，下例為NFC2.0采集的一種流量數(shù)據(jù)實例，本文的分析都基于這種格式。    61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1    數(shù)據(jù)中各

7、字段的含義如下：    源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量    4. 幾點說明    NetFlow主要由Cisco路由器支持，對于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類似的功能，例如Juniper路由器支持sFlow功能。    NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權(quán)都有關(guān)系，不是在所有情況下都能使用，使用時需考慮自己的軟硬件配置情況。&

8、#160;   本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)。三、互聯(lián)網(wǎng)異常流量的NetFlow分析    要對互聯(lián)網(wǎng)異常流量進行分析，首先要深入了解其產(chǎn)生原理及特征，以下將重點從NetFlow數(shù)據(jù)角度，對異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個方面進行分析。    1. 異常流量的種類    目前，對互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種：    （1）拒絕服務(wù)

9、攻擊（DoS）     DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，影響其它相關(guān)用戶流量的正常通信，最終可能導致網(wǎng)絡(luò)服務(wù)的不可用。    例如DoS可以利用TCP協(xié)議的缺陷，通過SYN打開半開的TCP連接，占用系統(tǒng)資源，使合法用戶被排斥而不能建立正常的TCP連接。    以下為一個典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實例，該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。  &#

10、160;  117.*.68.45|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1    104.*.93.81|211.*.*.49|Others|64851|3|2|5557|5928|6|1|40|1    58.*.255.108|211.*.*.49|Others|64851|3|2|3330|10000|6|1|40|1    由于Internet協(xié)議本身的缺陷，IP包中的源地址是可以偽造的，現(xiàn)

11、在的DoS工具很多可以偽裝源地址，這也是不易追蹤到攻擊源主機的主要原因。    （2）分布式拒絕服務(wù)攻擊（DDoS）    DDoS把DoS又發(fā)展了一步，將這種攻擊行為自動化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺計算機上的進程發(fā)起攻擊，在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標因過載而崩潰。    以下為一個典型的DDoS攻擊的NetFlow數(shù)據(jù)實例，該案例中多個IP同時向一個IP發(fā)起UDP攻擊。     61.*.*.6

12、7|69.*.*.100|64821|as9|2|9|49064|5230|17|6571|9856500|1    211.*.*.163|69.*.*.100|64751|as9|3|9|18423|22731|17|906|1359000|1    61.*.*.145|69.*.*.100|64731|Others|2|0|52452|22157|17|3|4500|1    （3）網(wǎng)絡(luò)蠕蟲病毒流量    網(wǎng)絡(luò)蠕蟲病毒的傳播也會

13、對網(wǎng)絡(luò)產(chǎn)生影響。近年來，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對用戶主機造成影響，而且對網(wǎng)絡(luò)的正常運行也構(gòu)成了的危害，因為這些病毒具有掃描網(wǎng)絡(luò)，主動傳播病毒的能力，會大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。    以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實例，該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求，其效果相當于對網(wǎng)絡(luò)發(fā)起DoS攻擊。    61.*.*.*|168.*.*.200|Others|Others|3|0|1186|445|6|1|4

14、8|1    61.*.*.*|32.*.*.207|Others|Others|3|0|10000|445|6|1|48|1    61.*.*.*|24.*.*.23|Others|Others|3|0|10000|445|6|1|48|1（4）其它異常流量    我們把其它能夠影響網(wǎng)絡(luò)正常運行的流量都歸為異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請求，很容易使一個性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。    以下為一個IP對167

15、.*.210.網(wǎng)段，針對UDP 137端口掃描的NetFlow數(shù)據(jù)實例：      211.*.*.54|167.*.210.95|65211|as3|2|10|1028|137|17|1|78|1      211.*.*.54|167.*.210.100|65211|as3|2|10|1028|137|17|1|78|1      211.*.*.54|167.*.210.103|65211|as3|2|10|1

16、028|137|17|1|78|1    2. 異常流量流向分析    從異常流量流向來看，常見的異常流量可分為三種情況：    網(wǎng)外對本網(wǎng)內(nèi)的攻擊    本網(wǎng)內(nèi)對網(wǎng)外的攻擊    本網(wǎng)內(nèi)對本網(wǎng)內(nèi)的攻擊    針對不同的異常流量流向，需要采用不同的防護及處理策略，所以判斷異常流量流向是進一步防護的前提，以下為這三種情況的NetFlow數(shù)據(jù)實例：  

17、   124.*.148.110|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1    211.*.*.54|167.*.210.252|65211|as3|2|10|1028|137|17|1|78|1    211.*.*.187|211.*.*.69|Others|localas|71|6|1721|445|6|3|144|1    其中211開頭的地址為本網(wǎng)地址。  &

18、#160; 3. 異常流量產(chǎn)生的后果    異常流量對網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個方面：    占用帶寬資源使網(wǎng)絡(luò)擁塞，造成網(wǎng)絡(luò)丟包、時延增大，嚴重時可導致網(wǎng)絡(luò)不可用；    占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源（CPU、內(nèi)存等），使網(wǎng)絡(luò)不能提供正常的服務(wù)。    4. 異常流量的數(shù)據(jù)包類型    常見的異常流量數(shù)據(jù)包形式有以下幾種：    ?TCP SYN floo

19、d（40字節(jié)）     11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1    從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為6（TCP），數(shù)據(jù)流大小為40字節(jié)（通常為TCP的SYN連接請求）。    ?ICMP flood    2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1

20、0;   從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為1（ICMP），單個數(shù)據(jù)流字節(jié)數(shù)達218M字節(jié)。    ?UDP flood    *.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1    *.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1 

21、0;  從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為17（UDP），數(shù)據(jù)流有大有小。    ?其它類型    其它類型的異常流量也會在網(wǎng)絡(luò)中經(jīng)常見到，從理論上來講，任何正常的數(shù)據(jù)包形式如果被大量濫用，都會產(chǎn)生異常流量，如以下的DNS正常訪問請求數(shù)據(jù)包（協(xié)議類型53）如果大量發(fā)生，就會產(chǎn)生對DNS服務(wù)器的DoS攻擊。    211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53

22、|1|59|15. 異常流量的源、目的地址    目的地址為固定的真地址，這種情況下目的地址通常是被異常流量攻擊的對象，如下例數(shù)據(jù)：    211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|17|2|3000|2     211.*.*.153|*.10.72.226|as2|as8|5|4|3845|10000|17|1|1500|1    211.*.*.153|*.10.72.226|a

23、s2|as8|5|4|3846|10000|17|1|1500|1    目的地址隨機生成，如下例數(shù)據(jù)：    211.*.*.187|169.*.190.17|Others|localas|71|6|1663|445|6|3|144|1    211.*.*.187|103.*.205.148|Others|localas|71|6|3647|445|6|3|144|1    211.*.*.187|138.*.80.79|Other

24、s|localas|71|6|1570|445|6|3|144|1    目的地址有規(guī)律變化，如下例數(shù)據(jù)，目的地址在順序增加：    211.*.*.219|192.*.254.18|Others|Others|15|9|10000|6789|17|1|36|1    211.*.*.219|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2    211.*.*.219|192.*

25、.254.20|Others|Others|15|9|10000|6789|17|3|108|3    源地址為真實IP地址，數(shù)據(jù)同上例：    源地址為偽造地址，這種情況源地址通常隨機生成，如下例數(shù)據(jù)，源地址都是偽造的網(wǎng)絡(luò)地址：    |209.*.*.38|as5|as4|3|7|1983|23|23|1|40|1     |209.*.*.38 |as6|as4|3|7|1159|2046|6

26、|1|40|1    |209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|1    6. 異常流量的源、目的端口分析    異常流量的源端口通常會隨機生成，如下例數(shù)據(jù)：    211.*.*.187|7|Others|localas|71|6|1663|445|6|3|144|1    211.*.*.187|103.2

27、10.205.148|Others|localas|71|6|3647|445|6|3|144|1    211.*.*.187|9|Others|localas|71|6|1570|445|6|3|144|1    多數(shù)異常流量的目的端口固定在一個或幾個端口，我們可以利用這一點，對異常流量進行過濾或限制，如下例數(shù)據(jù)，目的端口為UDP 6789：    211.*.*.219|192.*.254.18|Others|Others|15|9|10000|

28、6789|17|1|36|1    211.*.*.219|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2    211.*.*.219|192.*.254.20|Others|Others|15|9|10000|6789|17|3|108|3四、利用NetFlow工具處理防范網(wǎng)絡(luò)異常流量    從某種程度上來講，互聯(lián)網(wǎng)異常流量永遠不會消失而且從技術(shù)上目前沒有根本的解決辦法，但對網(wǎng)管人員來說，可以利用許多技術(shù)手段分析異

29、常流量，減小異常流量發(fā)生時帶來的影響和損失，以下是處理網(wǎng)絡(luò)異常流量時可以采用的一些方法及工具：    1. 判斷異常流量流向    因為目前多數(shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù)，所以采集異常流量NetFlow數(shù)據(jù)之前，首先要判斷異常流量的流向，進而選擇合適的物理端口去采集數(shù)據(jù)。    流量監(jiān)控管理軟件是判斷異常流量流向的有效工具，通過流量大小變化的監(jiān)控，可以幫助我們發(fā)現(xiàn)異常流量，特別是大流量異常流量的流向，從而進一步查找異常流量的源、目的地址。 &#

30、160;  目前最常用的流量監(jiān)控工具是免費軟件MRTG，下圖為利用MRTG監(jiān)測到的網(wǎng)絡(luò)異常流量實例，可以看出被監(jiān)測設(shè)備端口在當天4：00至9：30之間產(chǎn)生了幾十Mbps的異常流量，造成了該端口的擁塞（峰值流量被拉平）。    如果能夠?qū)⒘髁勘O(jiān)測部署到全網(wǎng)，這樣在類似異常流量發(fā)生時，就能迅速找到異常流量的源或目標接入設(shè)備端口，便于快速定位異常流量流向。    有些異常流量發(fā)生時并不體現(xiàn)為大流量的產(chǎn)生，這種情況下，我們也可以綜合異常流量發(fā)生時的其它現(xiàn)象判斷其流向，如設(shè)備端口的包轉(zhuǎn)發(fā)速率、網(wǎng)絡(luò)時延、丟

31、包率、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素。    2. 采集分析NetFlow數(shù)據(jù)    判斷異常流量的流向后，就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口，實施Neflow配置，采集該端口入流量的NetFlow數(shù)據(jù)。    以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實例：     ip flow-export source Loopback0    ip

32、flow-export destination *.*.*.61 9995    ip flow-sampling-mode packet-interval 100    interface GigabitEthernet10/0    ip route-cache flow sampled    通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61，該實例中采用sampl

33、ed模式，采樣間隔為100:1。    3. 處理異常流量的方法    （1）切斷連接    在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下，切斷異常流量源設(shè)備的物理連接是最直接的解決辦法。    （2）過濾    采用ACL（Access Control List）過濾能夠靈活實現(xiàn)針對源目的IP地址、協(xié)議類型、端口號等各種形式的過濾，但同時也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用，下例為利用ACL

34、過濾UDP 1434端口的實例：     access-list 101 deny   udp any any eq 1434    access-list 101 permit ip any any    此過濾針對蠕蟲王病毒（SQL Slammer），但同時也過濾了針對SQL Server的正常訪問，如果要保證對SQL Server的正常訪問，還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實施更細化的過濾策略（本文略）。   

35、 （3）靜態(tài)空路由過濾    能確定異常流量目標地址的情況下，可以用靜態(tài)路由把異常流量的目標地址指向空（Null），這種過濾幾乎不消耗路由器系統(tǒng)資源，但同時也過濾了對目標地址的正常訪問，配置實例如下：    ip route 205.*.*.2 55 Null 0    對于多路由器的網(wǎng)絡(luò)，還需增加相關(guān)動態(tài)路由配置，保證過濾在全網(wǎng)生效。    （4）異常流量限定   &#

36、160;利用路由器CAR功能，可以將異常流量限定在一定的范圍，這種過濾也存在消耗路由器系統(tǒng)資源的副作用，以下為利用CAR限制UDP 1434端口流量的配置實例：    Router# (config) access-list 150 deny udp any any eq 1434     Router# (config) access-list 150 permit ip any any     Router# (config) interface fastEthernet

37、 0/0     Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000     conform-action drop exceed-action drop     此配置限定UDP 1434端口的流量為8Kbps。五、常見蠕蟲病毒的NetFlow分析案例    利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量，特別是對于近年

38、來在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲病毒，其分析效果非常明顯，以下為幾種蠕蟲病毒的NetFlow分析實例：    1. 紅色代碼 (Code Red Worm)     2001年7月起發(fā)作，至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)。    211.*.*.237|192.*.148.107|65111|as1|6|72|3684|80|80|3|144|1     211.*.*.237|192.*.141.167|65111|as1|6|36|42

39、45|80|80|3|144|1    211.*.*.237|160.*.84.142|65111|as1|6|72|4030|80|80|3|144|1    NetFlow流數(shù)據(jù)典型特征：目的端口80, 協(xié)議類型80，包數(shù)量3，字節(jié)數(shù)144。    2. 硬盤殺手（worm.opasoft，W32.Opaserv.Worm）    2002年9月30日起發(fā)作，曾對許多網(wǎng)絡(luò)設(shè)備性能造成影響，2003年后逐漸減少。 

40、0;  61.*.*.196|25.|*.156.106|64621|Others|6|36|1029|137|17|1|78|1    61.*.*.196|25.*.156.107|64621|Others|6|36|1029|137|17|1|78|1    61.*.*.196|25.*.156.108|64621|Others|6|36|1029|137|17|1|78|1    NetFlow流數(shù)據(jù)典型特征：目的端口137，協(xié)議類型UDP，字節(jié)

41、數(shù)78。    3. 2003蠕蟲王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)     2003年1月25日起爆發(fā)，造成全球互聯(lián)網(wǎng)幾近癱瘓，至今仍是互聯(lián)網(wǎng)中最常見的異常流量之一。    61.*.*.124|28.*.17.190|65111|as1|6|34|4444|1434|17|1|404|1    61.*.*.124|28.*.154.90|

42、65111|as1|6|70|4444|1434|17|1|404|1    61.*.*.124|28.*.221.90|65111|as1|6|36|4444|1434|17|1|404|1    NetFlow流數(shù)據(jù)典型特征：目的端口1434，協(xié)議類型UDP，字節(jié)數(shù)404    4. 沖擊波 (WORM.BLASTER，W32.Blaster.Worm)    2003年8月12日起爆發(fā)，由其引發(fā)了危害更大的沖擊波殺手病毒。

43、60;   211.*.*.184|99.*.179.27|Others|Others|161|0|1523|135|6|1|48|1    211.*.*.184|99.*.179.28|Others|Others|161|0|1525|135|6|1|48|1    211.*.*.184|99.*.179.29|Others|Others|161|0|1527|135|6|1|48|1    典型特征：目的端口135，協(xié)議類型TCP，字節(jié)數(shù)48    5. 沖擊波殺手