netflow

?編輯

本詞條由“科普中國(guó)”百科科學(xué)詞條編寫(xiě)與應(yīng)用工作項(xiàng)目?審核 。 NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問(wèn)控制等策略，NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。

目錄

1?簡(jiǎn)介

??概念

??數(shù)據(jù)采集

??實(shí)例

??格式說(shuō)明

??其他說(shuō)明

2?結(jié)構(gòu)

3?版本

4?異常流量

??種類(lèi)

??拒絕服務(wù)攻擊（DoS）

??分布式拒絕服務(wù)攻擊（DDoS）

??網(wǎng)絡(luò)蠕蟲(chóng)病毒流量

??其它異常流量

??流向分析

??異常流量產(chǎn)生的后果

??異常流量的數(shù)據(jù)包類(lèi)型

??利用NetFlow工具處理防范網(wǎng)絡(luò)異常流量

??判斷異常流量流向

??采集分析NetFlow數(shù)據(jù)

??處理異常流量的方法

5?分析案例

??紅色代碼 (Code Red Worm)

??硬盤(pán)殺手

??2003蠕蟲(chóng)王

??沖擊波

??沖擊波殺手

??振蕩波

6?方法比較

簡(jiǎn)介

隨著系統(tǒng)的升級(jí)與漏洞的修補(bǔ)，入侵主機(jī)進(jìn)而進(jìn)行破壞的病毒攻擊方式在攻擊中所占比例逐漸減少，這些攻擊轉(zhuǎn)而改為惡意的消耗網(wǎng)絡(luò)有限的資源或占用系統(tǒng)，進(jìn)而破壞系統(tǒng)對(duì)外提供服務(wù)的能力；但傳統(tǒng)的系統(tǒng)升級(jí)無(wú)法檢測(cè)并預(yù)防此類(lèi)攻擊。針對(duì)此類(lèi)攻擊，業(yè)界提出了以檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流的方法來(lái)判斷網(wǎng)絡(luò)異常和攻擊：借助實(shí)時(shí)的檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流信息，通過(guò)與歷史記錄模式匹配（判斷是否正常）、或者與異常模式匹配（判斷是否被攻擊），讓網(wǎng)絡(luò)管理人員可以實(shí)時(shí)查看全網(wǎng)的狀態(tài)，檢測(cè)網(wǎng)絡(luò)性能可能出現(xiàn)的瓶頸，并進(jìn)行自動(dòng)處理或告警顯示，以保證網(wǎng)絡(luò)高效、可靠地運(yùn)轉(zhuǎn)。 Netflow提供網(wǎng)絡(luò)流量的會(huì)話(huà)級(jí)視圖，記錄下每個(gè)TCP/IP事務(wù)的信息。也許它不能象tcpdump那樣提供網(wǎng)絡(luò)流量的完整記錄，但是當(dāng)匯集起來(lái)時(shí)，它更加易于管理和易讀。Netflow由Cisco創(chuàng)造。

概念

一個(gè)NetFlow流定義為在一個(gè)源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號(hào)。

數(shù)據(jù)采集

針對(duì)路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件存儲(chǔ)到服務(wù)器上，以便利用各種NetFlow數(shù)據(jù)分析工具進(jìn)行進(jìn)一步的處理。 Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow數(shù)據(jù)，其它許多廠家也提供類(lèi)似的采集軟件。

實(shí)例

211.*.*.57|202.*.*.12|Others|localas|9|6|2392 出于安全原因考慮，本文中出現(xiàn)的IP地址均經(jīng)過(guò)處理。 NetFlow數(shù)據(jù)也可以在路由器上直接查看，以下為從Cisco GSR路由器采集的數(shù)據(jù)實(shí)例，： gsr #att 2 （登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡） LC-Slot2>sh ip cache flow SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2 Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1 本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù)，針對(duì)路由器直接輸出的Neflow數(shù)據(jù)，也可以采用類(lèi)似方法分析。

格式說(shuō)明

NFC 可以定制多種NetFlow數(shù)據(jù)采集格式，下例為NFC2.0采集的一種流量數(shù)據(jù)實(shí)例，本文的分析都基于這種格式。 61.*.*.68|61.*.*.195|64917|Others|9|13|4528| 135|6|4|192|1 數(shù)據(jù)中各字段的含義如下： 源地址|目的地址|源自治域|目的自治域|流入接口號(hào)|流出接口號(hào)|源端口|目的端口|協(xié)議類(lèi)型|包數(shù)量|字節(jié)數(shù)|流數(shù)量

其他說(shuō)明

NetFlow主要由Cisco路由器支持，對(duì)于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類(lèi)似的功能，例如Juniper路由器支持sFlow功能。 NetFlow支持情況與路由器類(lèi)型、板卡類(lèi)型、IOS版本、IOS授權(quán)都有關(guān)系，不是在所有情況下都能使用，使用時(shí)需考慮自己的軟硬件配置情況。 本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù) The benefit of using Netflow:Network,Application&User Monitoring,Security Analysi,Accounting/Billing.

結(jié)構(gòu)

一個(gè)Netflow系統(tǒng)包括三個(gè)主要部分：探測(cè)器，采集器，報(bào)告系統(tǒng)。探測(cè)器是用來(lái)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)的。采集器是用來(lái)收集探測(cè)器傳來(lái)的數(shù)據(jù)的。報(bào)告系統(tǒng)是用來(lái)從采集器收集到的數(shù)據(jù)產(chǎn)生易讀的報(bào)告的。 NetFlow是Cisco設(shè)備N(xiāo)LOS軟件中內(nèi)嵌的一種功能，用來(lái)將網(wǎng)絡(luò)流量記錄到設(shè)備的高速緩存中，從而提供非常精準(zhǔn)的流量測(cè)量。 由于網(wǎng)絡(luò)通信具有流動(dòng)性，所以緩存中記錄的NetFlow統(tǒng)計(jì)數(shù)據(jù)通常包含轉(zhuǎn)發(fā)的IP信息。 輸出的NetFlow統(tǒng)計(jì)數(shù)據(jù)可用于多種目的，如網(wǎng)絡(luò)流量核算、網(wǎng)絡(luò)付費(fèi)、網(wǎng)絡(luò)監(jiān)控以及商業(yè)目的的數(shù)據(jù)存儲(chǔ)。 路由器和交換機(jī)輸出的NetFlow數(shù)據(jù)記錄由過(guò)期的數(shù)據(jù)流及詳細(xì)的流量統(tǒng)計(jì)數(shù)據(jù)組成。這些數(shù)據(jù)流中包含來(lái)源和目的相關(guān)的信息，以及端到端會(huì)話(huà)使用的協(xié)議和端口。這些信息能幫助IT人員監(jiān)控和調(diào)整網(wǎng)絡(luò)流量，以及面向網(wǎng)絡(luò)有效地分配帶寬。 NetFlow流量統(tǒng)計(jì)數(shù)據(jù)包括數(shù)據(jù)流時(shí)戳 源IP地址和目的IP地址 源端口號(hào)和目的端口號(hào) 輸入接口號(hào)和輸出接口號(hào) 下一跳IP地址 信息流中的總字節(jié)數(shù) 信息流中的數(shù)據(jù)包數(shù)量 信息流中的第一個(gè)和最后一個(gè)數(shù)據(jù)包時(shí)戳 源AS和目的AS，及前置掩碼 序號(hào)(只有版本5中支持)

版本

Netflow技術(shù)最早是于1996年由思科公司的Darren Kerr和Barry Bruins發(fā)明的，并于同年5月注冊(cè)為美國(guó)專(zhuān)利，專(zhuān)利號(hào)為6,243,667。Netflow技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對(duì)數(shù)據(jù)交換進(jìn)行加速，并可同步實(shí)現(xiàn)對(duì)高速轉(zhuǎn)發(fā)的IP數(shù)據(jù)流(Flow)進(jìn)行測(cè)量和統(tǒng)計(jì)。經(jīng)過(guò)多年的技術(shù)演進(jìn)，Netflow原來(lái)用于數(shù)據(jù)交換加速的功能已經(jīng)逐步由網(wǎng)絡(luò)設(shè)備中的專(zhuān)用ASIC芯片實(shí)現(xiàn)，而對(duì)流經(jīng)網(wǎng)絡(luò)設(shè)備的IP數(shù)據(jù)流進(jìn)行測(cè)量和統(tǒng)計(jì)的功能也已更加成熟，并成為了當(dāng)今互聯(lián)網(wǎng)領(lǐng)域公認(rèn)的最主要的IP/MPLS流量分析，統(tǒng)計(jì)和計(jì)費(fèi)行業(yè)標(biāo)準(zhǔn)。Netflow技術(shù)能對(duì)IP/MPLS網(wǎng)絡(luò)的通信流量進(jìn)行詳細(xì)的行為模式分析和計(jì)量，并提供網(wǎng)絡(luò)運(yùn)行的詳細(xì)統(tǒng)計(jì)數(shù)據(jù)。 在Netflow技術(shù)的演進(jìn)過(guò)程中，思科公司一共開(kāi)發(fā)出了5個(gè)主要的實(shí)用版本，即： Netflow V1，為Netflow技術(shù)的第一個(gè)實(shí)用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的實(shí)際網(wǎng)絡(luò)環(huán)境中已經(jīng)不建議使用。 Netflow V5，增加了對(duì)數(shù)據(jù)流BGP AS信息的支持，是當(dāng)前主要的實(shí)際應(yīng)用版本。支持IOS 11.1CA和12.0及其后續(xù)IOS版本。 Netflow V7，思科Catalyst交換機(jī)設(shè)備支持的一個(gè)Netflow版本，需要利用交換機(jī)的MLS或CEF處理引擎。 Netflow V8，增加了網(wǎng)絡(luò)設(shè)備對(duì)Netflow統(tǒng)計(jì)數(shù)據(jù)進(jìn)行自動(dòng)匯聚的功能（共支持11種數(shù)據(jù)匯聚模式），可以大大降低對(duì)數(shù)據(jù)輸出的帶寬需求。支持IOS12.0(3)T，12.0(3)S，12.1及其后續(xù)IOS版本。 Netflow V9，一種全新的靈活和可擴(kuò)展的Netflow數(shù)據(jù)輸出格式，采用了基于模板（Template）的統(tǒng)計(jì)數(shù)據(jù)輸出。方便添加需要輸出的數(shù)據(jù)域和支持多種Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后續(xù)IOS版本。在2003年思科公司的Netflow V9還被IETF組織從5個(gè)候選方案中確定為IPFIX（IP Flow Information Export）標(biāo)準(zhǔn)。

異常流量

要對(duì)互聯(lián)網(wǎng)異常流量進(jìn)行分析，首先要深入了解其產(chǎn)生原理及特征，以下將重點(diǎn)從NetFlow數(shù)據(jù)角度，對(duì)異常流量的種類(lèi)、流向、產(chǎn)生后果、數(shù)據(jù)包類(lèi)型、地址、端口等多個(gè)方面進(jìn)行分析。

種類(lèi)

目前，對(duì)互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種：

拒絕服務(wù)攻擊（DoS）

DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，影響其它相關(guān)用戶(hù)流量的正常通信，最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。 例如DoS可以利用TCP協(xié)議的缺陷，通過(guò)SYN打開(kāi)半開(kāi)的TCP連接，占用系統(tǒng)資源，使合法用戶(hù)被排斥而不能建立正常的TCP連接。 以下為一個(gè)典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實(shí)例，該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊。 117.*.68.45|211.*.*.49|Others|64851|3|2|10000| 10000|6|1|40|1 104.*.93.81|211.*.*.49|Others|64851|3|2|5557| 5928|6|1|40|1 58.*.255.108|211.*.*.49|Others|64851|3|2|3330| 10000|6|1|40|1 由于Internet協(xié)議本身的缺陷，IP包中的源地址是可以偽造的，現(xiàn)在的DoS工具很多可以偽裝源地址，這也是不易追蹤到攻擊源主機(jī)的主要原因。

分布式拒絕服務(wù)攻擊（DDoS）

DDoS把DoS又發(fā)展了一步，將這種攻擊行為自動(dòng)化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺(tái)計(jì)算機(jī)上的進(jìn)程發(fā)起攻擊，在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)因過(guò)載而崩潰。 以下為一個(gè)典型的DDoS攻擊的NetFlow數(shù)據(jù)實(shí)例，該案例中多個(gè)IP同時(shí)向一個(gè)IP發(fā)起UDP攻擊。 61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230| 17|6571|9856500|1 211.*.*.163|69.*.*.100|64751|as9|3|9|18423| 22731|17|906|1359000|1 61.*.*.145|69.*.*.100|64731|Others|2|0|52452| 22157|17|3|4500|1

網(wǎng)絡(luò)蠕蟲(chóng)病毒流量

網(wǎng)絡(luò)蠕蟲(chóng)病毒的傳播也會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生影響。近年來(lái)，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對(duì)用戶(hù)主機(jī)造成影響，而且對(duì)網(wǎng)絡(luò)的正常運(yùn)行也構(gòu)成了的危害，因?yàn)檫@些病毒具有掃描網(wǎng)絡(luò)，主動(dòng)傳播病毒的能力，會(huì)大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。 以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實(shí)例，該案例中一個(gè)IP同時(shí)向隨機(jī)生成的多個(gè)IP發(fā)起445端口的TCP連接請(qǐng)求，其效果相當(dāng)于對(duì)網(wǎng)絡(luò)發(fā)起DoS攻擊。 61.*.*.*|168.*.*.200|Others|Others|3|0|1186| 445|6|1|48|1 61.*.*.*|32.*.*.207|Others|Others|3|0|10000| 445|6|1|48|1 61.*.*.*|24.*.*.23|Others|Others|3|0|10000| 445|6|1|48|1

其它異常流量

我們把其它能夠影響網(wǎng)絡(luò)正常運(yùn)行的流量都?xì)w為異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請(qǐng)求，很容易使一個(gè)性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。 以下為一個(gè)IP對(duì)167.*.210.網(wǎng)段，針對(duì)UDP 137端口掃描的NetFlow數(shù)據(jù)實(shí)例： 211.*.*.54|167.*.210.95|65211|as3|2|10|1028| 137|17|1|78|1 211.*.*.54|167.*.210.100|65211|as3|2|10| 1028|137|17|1|78|1 211.*.*.54|167.*.210.103|65211|as3|2|10| 1028|137|17|1|78|1

流向分析

從異常流量流向來(lái)看，常見(jiàn)的異常流量可分為三種情況： 網(wǎng)外對(duì)本網(wǎng)內(nèi)的攻擊 本網(wǎng)內(nèi)對(duì)網(wǎng)外的攻擊 本網(wǎng)內(nèi)對(duì)本網(wǎng)內(nèi)的攻擊 針對(duì)不同的異常流量流向，需要采用不同的防護(hù)及處理策略，所以判斷異常流量流向是進(jìn)一步防護(hù)的前提，以下為這三種情況的NetFlow數(shù)據(jù)實(shí)例： 124.*.148.110|211.*.*.49|Others|64851|3|2| 10000|10000|6|1|40|1 211.*.*.54|167.*.210.252|65211|as3|2|10| 1028|137|17|1|78|1 211.*.*.187|211.*.*.69|Others|localas|71|6|1721| 445|6|3|144|1 其中211開(kāi)頭的地址為本網(wǎng)地址。

異常流量產(chǎn)生的后果

異常流量對(duì)網(wǎng)絡(luò)的影響主要體現(xiàn)在兩個(gè)方面： 占用帶寬資源使網(wǎng)絡(luò)擁塞，造成網(wǎng)絡(luò)丟包、時(shí)延增大，嚴(yán)重時(shí)可導(dǎo)致網(wǎng)絡(luò)不可用； 占用網(wǎng)絡(luò)設(shè)備系統(tǒng)資源（CPU、內(nèi)存等），使網(wǎng)絡(luò)不能提供正常的服務(wù)。

異常流量的數(shù)據(jù)包類(lèi)型

常見(jiàn)的異常流量數(shù)據(jù)包形式有以下幾種： ?TCP SYN flood（40字節(jié)） 11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6| 1|40|1 從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為6（TCP），數(shù)據(jù)流大小為40字節(jié)（通常為T(mén)CP的SYN連接請(qǐng)求）。 ?ICMP flood 2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173| 218359704|1 從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為1（ICMP），單個(gè)數(shù)據(jù)流字節(jié)數(shù)達(dá)218M字節(jié)。 ?UDP flood *.*.206.73|160.*.71.129|64621|Others|6|34| 1812|1812|17|224|336000|1 *.*.17.196|25.*.156.119|64621|Others|6|34| 1029|137|17|1|78|1 從NetFlow的采集數(shù)據(jù)可以看出，此異常流量的典型特征是數(shù)據(jù)包協(xié)議類(lèi)型為17（UDP），數(shù)據(jù)流有大有小。 其它類(lèi)型 其它類(lèi)型的異常流量也會(huì)在網(wǎng)絡(luò)中經(jīng)常見(jiàn)到，從理論上來(lái)講，任何正常的數(shù)據(jù)包形式如果被大量濫用，都會(huì)產(chǎn)生異常流量，如以下的DNS正常訪問(wèn)請(qǐng)求數(shù)據(jù)包（協(xié)議類(lèi)型53）如果大量發(fā)生，就會(huì)產(chǎn)生對(duì)DNS服務(wù)器的DoS攻擊。 211.*.*.146|211.*.*.129|Others|Others|71|8| 3227|53|53|1|59|1 5. 異常流量的源、目的地址 目的地址為固定的真地址，這種情況下目的地址通常是被異常流量攻擊的對(duì)象，如下例數(shù)據(jù)： 211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000| 17|2|3000|2 211.*.*.153|*.10.72.226| as2|as8|5|4|3845|10000|17|1|1500|1 211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000| 17|1|1500|1 目的地址隨機(jī)生成，如下例數(shù)據(jù)： 211.*.*.187|169.*.190.17|Others|localas|71|6| 1663|445|6|3|144|1 211.*.*.187|103.*.205.148|Others|localas|71|6| 3647|445|6|3|144|1 211.*.*.187|138.*.80.79|Others|localas|71|6| 1570|445|6|3|144|1 目的地址有規(guī)律變化，如下例數(shù)據(jù)，目的地址在順序增加： 211.*.*.219|192.*.254.18|Others|Others|15|9| 10000|6789|17|1|36|1 211.*.*.219|192.*.254.19|Others|Others|15|9| 10000|6789|17|2|72|2 211.*.*.219|192.*.254.20|Others|Others|15|9| 10000|6789|17|3|108|3 源地址為真實(shí)IP地址，數(shù)據(jù)同上例： 源地址為偽造地址，這種情況源地址通常隨機(jī)生成，如下例數(shù)據(jù)，源地址都是偽造的網(wǎng)絡(luò)地址： 63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23| 1|40|1 12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6| 1|40|1 212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6| 1|40|1 6. 異常流量的源、目的端口分析 異常流量的源端口通常會(huì)隨機(jī)生成，如下例數(shù)據(jù)： 211.*.*.187|169.172.190.17|Others|localas|71| 6|1663|445|6|3|144|1 211.*.*.187|103.210.205.148|Others|localas|71| 6|3647|445|6|3|144|1 211.*.*.187|138.241.80.79|Others|localas|71|6| 1570|445|6|3|144|1 多數(shù)異常流量的目的端口固定在一個(gè)或幾個(gè)端口，我們可以利用這一點(diǎn)，對(duì)異常流量進(jìn)行過(guò)濾或限制，如下例數(shù)據(jù)，目的端口為UDP 6789： 211.*.*.219|192.*.254.18|Others|Others|15|9| 10000|6789|17|1|36|1 211.*.*.219|192.*.254.19|Others|Others|15|9| 10000|6789|17|2|72|2 211.*.*.219|192.*.254.20|Others|Others|15|9| 10000|6789|17|3|108|3

利用NetFlow工具處理防范網(wǎng)絡(luò)異常流量

從某種程度上來(lái)講，互聯(lián)網(wǎng)異常流量永遠(yuǎn)不會(huì)消失而且從技術(shù)上目前沒(méi)有根本的解決辦法，但對(duì)網(wǎng)管人員來(lái)說(shuō)，可以利用許多技術(shù)手段分析異常流量，減小異常流量發(fā)生時(shí)帶來(lái)的影響和損失，以下是處理網(wǎng)絡(luò)異常流量時(shí)可以采用的一些方法及工具：

判斷異常流量流向

因?yàn)槟壳岸鄶?shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù)，所以采集異常流量NetFlow數(shù)據(jù)之前，首先要判斷異常流量的流向，進(jìn)而選擇合適的物理端口去采集數(shù)據(jù)。 流量監(jiān)控管理軟件是判斷異常流量流向的有效工具，通過(guò)流量大小變化的監(jiān)控，可以幫助我們發(fā)現(xiàn)異常流量，特別是大流量異常流量的流向，從而進(jìn)一步查找異常流量的源、目的地址。 目前最常用的流量監(jiān)控工具是免費(fèi)軟件MRTG，下圖為利用MRTG監(jiān)測(cè)到的網(wǎng)絡(luò)異常流量實(shí)例，可以看出被監(jiān)測(cè)設(shè)備端口在當(dāng)天4：00至9：30之間產(chǎn)生了幾十Mbps的異常流量，造成了該端口的擁塞（峰值流量被拉平）。 如果能夠?qū)⒘髁勘O(jiān)測(cè)部署到全網(wǎng)，這樣在類(lèi)似異常流量發(fā)生時(shí)，就能迅速找到異常流量的源或目標(biāo)接入設(shè)備端口，便于快速定位異常流量流向。 有些異常流量發(fā)生時(shí)并不體現(xiàn)為大流量的產(chǎn)生，這種情況下，我們也可以綜合異常流量發(fā)生時(shí)的其它現(xiàn)象判斷其流向，如設(shè)備端口的包轉(zhuǎn)發(fā)速率、網(wǎng)絡(luò)時(shí)延、丟包率、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素。

采集分析NetFlow數(shù)據(jù)

判斷異常流量的流向后，就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口，實(shí)施Neflow配置，采集該端口入流量的NetFlow數(shù)據(jù)。 以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開(kāi)NetFlow的配置實(shí)例： ip flow-export source Loopback0 ip flow-export destination *.*.*.61 9995 ip flow-sampling-mode packet-interval 100 interface GigabitEthernet10/0 ip route-cache flow sampled 通過(guò)該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61，該實(shí)例中采用sampled模式，采樣間隔為100:1。

處理異常流量的方法

（1）切斷連接 在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下，切斷異常流量源設(shè)備的物理連接是最直接的解決辦法。 （2）過(guò)濾 采用ACL（Access Control List）過(guò)濾能夠靈活實(shí)現(xiàn)針對(duì)源目的IP地址、協(xié)議類(lèi)型、端口號(hào)等各種形式的過(guò)濾，但同時(shí)也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用，下例為利用ACL過(guò)濾UDP1434端口的實(shí)例： access-list 101 deny udp any any eq 1434 access-list 101 permit ip any any 此過(guò)濾針對(duì)蠕蟲(chóng)王病毒（SQL Slammer），但同時(shí)也過(guò)濾了針對(duì)SQL Server的正常訪問(wèn)，如果要保證對(duì)SQL Server的正常訪問(wèn)，還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實(shí)施更細(xì)化的過(guò)濾策略（本文略）。 （3）靜態(tài)空路由過(guò)濾 能確定異常流量目標(biāo)地址的情況下，可以用靜態(tài)路由把異常流量的目標(biāo)地址指向空（Null），這種過(guò)濾幾乎不消耗路由器系統(tǒng)資源，但同時(shí)也過(guò)濾了對(duì)目標(biāo)地址的正常訪問(wèn)，配置實(shí)例如下： ip route 205.*.*.2 255.255.255.255 Null 0 對(duì)于多路由器的網(wǎng)絡(luò)，還需增加相關(guān)動(dòng)態(tài)路由配置，保證過(guò)濾在全網(wǎng)生效。 （4）異常流量限定 利用路由器CAR功能，可以將異常流量限定在一定的范圍，這種過(guò)濾也存在消耗路由器系統(tǒng)資源的副作用，以下為利用CAR限制UDP1434端口流量的配置實(shí)例： Router# (config) access-list 150 deny udp any any eq 1434 Router# (config) access-list 150 permit ip any any Router# (config) interface fastEthernet 0/0 Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000 conform-action drop exceed-action drop 此配置限定UDP1434端口的流量為8Kbps。

分析案例

利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量，特別是對(duì)于近年來(lái)在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲(chóng)病毒，其分析效果非常明顯，以下為幾種蠕蟲(chóng)病毒的NetFlow分析實(shí)例：

紅色代碼 (Code Red Worm)

2001年7月起發(fā)作，至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)。 211.*.*.237|192.*.148.107|65111|as1|6|72| 3684|80|80|3|144|1 211.*.*.237|192.*.141.167|65111|as1|6|36| 4245|80|80|3|144|1 211.*.*.237|160.*.84.142|65111|as1|6|72| 4030|80|80|3|144|1 NetFlow流數(shù)據(jù)典型特征：目的端口80, 協(xié)議類(lèi)型80，包數(shù)量3，字節(jié)數(shù)144。

硬盤(pán)殺手

（worm.opasoft，W32.Opaserv.Worm） 2002年9月30日起發(fā)作，曾對(duì)許多網(wǎng)絡(luò)設(shè)備性能造成影響，2003年后逐漸減少。 61.*.*.196|25.|*.156.106|64621|Others|6|36| 1029|137|17|1|78|1 61.*.*.196|25.*.156.107|64621|Others|6|36| 1029|137|17|1|78|1 61.*.*.196|25.*.156.108|64621|Others|6|36| 1029|137|17|1|78|1 NetFlow流數(shù)據(jù)典型特征：目的端口137，協(xié)議類(lèi)型UDP，字節(jié)數(shù)78。

2003蠕蟲(chóng)王

(Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm) 2003年1月25日起爆發(fā)，造成全球互聯(lián)網(wǎng)幾近癱瘓，至今仍是互聯(lián)網(wǎng)中最常見(jiàn)的異常流量之一。 61.*.*.124|28.*.17.190|65111|as1|6|34|4444| 1434|17|1|404|1 61.*.*.124|28.*.154.90|65111|as1|6|70|4444| 1434|17|1|404|1 61.*.*.124|28.*.221.90|65111|as1|6|36|4444| 1434|17|1|404|1 NetFlow流數(shù)據(jù)典型特征：目的端口1434，協(xié)議類(lèi)型UDP，字節(jié)數(shù)404

沖擊波

(WORM.BLASTER，W32.Blaster.Worm) 2003年8月12日起爆發(fā)，由其引發(fā)了危害更大的沖擊波殺手病毒。 211.*.*.184|99.*.179.27|Others|Others|161|0| 1523|135|6|1|48|1 211.*.*.184|99.*.179.28|Others|Others|161|0| 1525|135|6|1|48|1 211.*.*.184|99.*.179.29|Others|Others|161|0| 1527|135|6|1|48|1 典型特征：目的端口135，協(xié)議類(lèi)型TCP，字節(jié)數(shù)48

沖擊波殺手

（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm） 2003年8月18日起發(fā)現(xiàn)，其產(chǎn)生的ICMP流量對(duì)全球互聯(lián)網(wǎng)造成了很大影響，2004年后病毒流量明顯減少。 211.*.*.91|211.*.*.77|Others|Others|4|0|0| 2048|1|1|92|1 211.*.*.91|211.*.*.78|Others|Others|4|0|0| 2048|1|1|92|1 211.*.*.91|211.*.*.79|Others|Others|4|0|0| 2048|1|1|92|1 NetFlow流數(shù)據(jù)典型特征：目的端口2048，協(xié)議類(lèi)型ICMP，字節(jié)數(shù)92

振蕩波

(Worm.Sasser，W32.Sasser) 2004年5月爆發(fā)。 61.*.*.*|32.*.70.207|Others|Others|3|0|10000| 445|6|1|48|1 61.*.*.*|24.*.217.23|Others|Others|3|0|10000| 445|6|1|48|1 61.*.*.*|221.*.65.84|Others|Others|3|0|10000| 445|6|1|48|1 NetFlow流數(shù)據(jù)典型特征：目的端口445，協(xié)議類(lèi)型TCP，字節(jié)數(shù)48 從以上案例可以看出，蠕蟲(chóng)爆發(fā)時(shí)，應(yīng)用Neflow分析方法，可以根據(jù)病毒流量的NetFlow特征快速定位感染病毒的IP地址，并參考NetFlow數(shù)據(jù)流的其它特征在網(wǎng)絡(luò)設(shè)備上采取相應(yīng)的限制、過(guò)濾措施，從而達(dá)到抑制病毒流量傳播的目的。

方法比較

處理分析網(wǎng)絡(luò)異常流量存在許多其它方法，如我們可以利用IDS、協(xié)議分析儀、網(wǎng)絡(luò)設(shè)備的Log、Debug、ip accounting等功能查找異常流量來(lái)源，但這些方法的應(yīng)用因各種原因受到限制，如效率低、對(duì)網(wǎng)絡(luò)設(shè)備的性能影響、數(shù)據(jù)不易采集等因素。 利用NetFlow分析網(wǎng)絡(luò)異常流量也存在一些限制條件，如需要網(wǎng)絡(luò)設(shè)備對(duì)NetFlow的支持，需要分析NetFlow數(shù)據(jù)的工具軟件，需要網(wǎng)絡(luò)管理員準(zhǔn)確區(qū)分正常流量數(shù)據(jù)和異常流量數(shù)據(jù)等。 但相比其它方法，利用NetFlow分析網(wǎng)絡(luò)異常流量因其方便、快捷、高效的特點(diǎn)，為越來(lái)越多的網(wǎng)絡(luò)管理員所接受，成為互聯(lián)網(wǎng)安全管理的重要手段，特別是在較大網(wǎng)絡(luò)的管理中，更能體現(xiàn)出其獨(dú)特優(yōu)勢(shì)。 詞條標(biāo)簽：

中國(guó)通信學(xué)會(huì)?，?通信技術(shù)?，?計(jì)算機(jī)學(xué)

總結(jié)

以上是生活随笔為你收集整理的netflow的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。