怎样使用NetFlow分析网络异常流量二

5. 异常流量的源、目的地址

目的地址为固定的真地址，这种情况下目的地址通常是被异常流量攻击的对象，如下例数据：

211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|

17|2|3000|2

211.*.*.153|*.10.72.226|

as2|as8|5|4|3845|10000|17|1|1500|1

211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|

17|1|1500|1

目的地址随机生成，如下例数据：

211.*.*.187|169.*.190.17|Others|localas|71|6|

1663|445|6|3|144|1

211.*.*.187|103.*.205.148|Others|localas|71|6|

3647|445|6|3|144|1

211.*.*.187|138.*.80.79|Others|localas|71|6|

1570|445|6|3|144|1

目的地址有规律变化，如下例数据，目的地址在顺序增加：

211.*.*.219|192.*.254.18|Others|Others|15|9|

　　10000|6789|17|1|36|1

　　211.*.*.219|192.*.254.19|Others|Others|15|9|

　　10000|6789|17|2|72|2

　　211.*.*.219|192.*.254.20|Others|Others|15|9|

　　10000|6789|17|3|108|3

　　源地址为真实IP地址，数据同上例：

　　源地址为伪造地址，这种情况源地址通常随机生成，如下例数据，源地址都是伪造的网络地址：

　　63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|

　　1|40|1

　　12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|

　　1|40|1

　　212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|

　　1|40|1

　　

　　6. 异常流量的源、目的端口分析

　　

　　异常流量的源端口通常会随机生成，如下例数据：

　　211.*.*.187|169.172.190.17|Others|localas|71|

　　6|1663|445|6|3|144|1

　　211.*.*.187|103.210.205.148|Others|localas|71|

　　6|3647|445|6|3|144|1

　　211.*.*.187|138.241.80.79|Others|localas|71|6|

　　1570|445|6|3|144|1

　　多数异常流量的目的端口固定在一个或几个端口，我们可以利用这一点，对异常流量进行过滤或限制，如下例数据，目的端口为UDP 6789：

　　211.*.*.219|192.*.254.18|Others|Others|15|9|

　　10000|6789|17|1|36|1

　　211.*.*.219|192.*.254.19|Others|Others|15|9|

　　10000|6789|17|2|72|2

　　211.*.*.219|192.*.254.20|Others|Others|15|9|

　　10000|6789|17|3|108|3

　　

　　四、利用NetFlow工具处理防范网络异常流量

　　

　　从某种程度上来讲，互联网异常流量永远不会消失而且从技术上目前没有根本的解决办法，但对网管人员来说，可以利用许多技术手段分析异常流量，减小异常流量发生时带来的影响和损失，以下是处理网络异常流量时可以采用的一些方法及工具：

　　

　　1. 判断异常流量流向

　　

　　因为目前多数网络设备只提供物理端口入流量的NetFlow数据，所以采集异常流量NetFlow数据之前，首先要判断异常流量的流向，进而选择合适的物理端口去采集数据。

　　

　　流量监控管理软件是判断异常流量流向的有效工具，通过流量大小变化的监控，可以帮助我们发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址。

　　

　　目前最常用的流量监控工具是免费软件MRTG，下图为利用MRTG监测到的网络异常流量实例，可以看出被监测设备端口在当天4：00至9：30之间产生了几十Mbps的异常流量，造成了该端口的拥塞（峰值流量被拉平）。

　　

　　如果能够将流量监测部署到全网，这样在类似异常流量发生时，就能迅速找到异常流量的源或目标接入设备端口，便于快速定位异常流量流向。

　　

　　有些异常流量发生时并不体现为大流量的产生，这种情况下，我们也可以综合异常流量发生时的其它现象判断其流向，如设备端口的包转发速率、网络时延、丢包率、网络设备的CPU利用率变化等因素。

　　

　　2. 采集分析NetFlow数据

　　

　　判断异常流量的流向后，就可以选择合适的网络设备端口，实施Neflow配置，采集该端口入流量的NetFlow数据。

　　

　　以下是在Cisco GSR路由器GigabitEthernet10/0端口上打开NetFlow的配置实例：

　　ip flow-export source Loopback0

　　ip flow-export destination *.*.*.61 9995

　　ip flow-sampling-mode packet-interval 100

　　interface GigabitEthernet10/0

　　ip route-cache flow sampled

　　通过该配置把流入到GigabitEthernet10/0的NetFlow数据送到NetFlow采集器*.*.*.61，该实例中采用sampled模式，采样间隔为100:1。

　　

　　3. 处理异常流量的方法

　　

　　（1）切断连接

　　

　　在能够确定异常流量源地址且该源地址设备可控的情况下，切断异常流量源设备的物理连接是最直接的解决办法。

　　

　　（2）过滤

　　

　　采用ACL（Access Control List）过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤，但同时也存在消耗网络设备系统资源的副作用，下例为利用ACL过滤UDP 1434端口的实例：

　　access-list 101 deny　 udp any any eq 1434

　　access-list 101 permit ip any any

　　此过滤针对蠕虫王病毒（SQL Slammer），但同时也过滤了针对SQL Server的正常访问，如果要保证对SQL Server的正常访问，还可以根据病毒流数据包的大小特征实施更细化的过滤策略（本文略）。

　　

　　（3）静态空路由过滤

　　

　　能确定异常流量目标地址的情况下，可以用静态路由把异常流量的目标地址指向空（Null），这种过滤几乎不消耗路由器系统资源，但同时也过滤了对目标地址的正常访问，配置实例如下：

　　ip route 205.*.*.2 255.255.255.255 Null 0

　　对于多路由器的网络，还需增加相关动态路由配置，保证过滤在全网生效。

　　

　　（4）异常流量限定

　　

　　利用路由器CAR功能，可以将异常流量限定在一定的范围，这种过滤也存在消耗路由器系统资源的副作用，以下为利用CAR限制UDP 1434端口流量的配置实例：

　　Router# (config) access-list 150 deny udp any any eq 1434

　　Router# (config) access-list 150 permit ip any any

　　Router# (config) interface fastEthernet 0/0

　　Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000

　　conform-action drop exceed-action drop

　　此配置限定UDP 1434端口的流量为8Kbps。

　　

　　五、常见蠕虫病毒的NetFlow分析案例

　　

　　利用上诉方法可以分析目前互联网中存在的大多数异常流量，特别是对于近年来在互联网中造成较大影响的多数蠕虫病毒，其分析效果非常明显，以下为几种蠕虫病毒的NetFlow分析实例：

　　

　　1. 红色代码 (Code Red Worm)

　　

　　2001年7月起发作，至今仍在网络流量中经常出现。

　　

　　211.*.*.237|192.*.148.107|65111|as1|6|72|

　　3684|80|80|3|144|1

　　211.*.*.237|192.*.141.167|65111|as1|6|36|

　　4245|80|80|3|144|1

　　211.*.*.237|160.*.84.142|65111|as1|6|72|

　　4030|80|80|3|144|1

　　NetFlow流数据典型特征：目的端口80, 协议类型80，包数量3，字节数144。

　　

　　2. 硬盘杀手（worm.opasoft，W32.Opaserv.Worm）

　　

　　2002年9月30日起发作，曾对许多网络设备性能造成影响，2003年后逐渐减少。

　　

　　61.*.*.196|25.|*.156.106|64621|Others|6|36|

　　1029|137|17|1|78|1

　　61.*.*.196|25.*.156.107|64621|Others|6|36|

　　1029|137|17|1|78|1

　　61.*.*.196|25.*.156.108|64621|Others|6|36|

　　1029|137|17|1|78|1

　　NetFlow流数据典型特征：目的端口137，协议类型UDP，字节数78。

　　

　　3. 2003蠕虫王 (Worm.NetKiller2003，WORM_SQLP1434，W32.Slammer，W32.SQLExp.Worm)

　　

　　2003年1月25日起爆发，造成全球互联网几近瘫痪，至今仍是互联网中最常见的异常流量之一。

　　

　　61.*.*.124|28.*.17.190|65111|as1|6|34|4444|

　　1434|17|1|404|1

　　61.*.*.124|28.*.154.90|65111|as1|6|70|4444|

　　1434|17|1|404|1

　　61.*.*.124|28.*.221.90|65111|as1|6|36|4444|

　　1434|17|1|404|1

　　NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404

　　

　　4. 冲击波 (WORM.BLASTER，W32.Blaster.Worm)

　　

　　2003年8月12日起爆发，由其引发了危害更大的冲击波杀手病毒。

　　

　　211.*.*.184|99.*.179.27|Others|Others|161|0|

　　1523|135|6|1|48|1

　　211.*.*.184|99.*.179.28|Others|Others|161|0|

　　1525|135|6|1|48|1

　　211.*.*.184|99.*.179.29|Others|Others|161|0|

　　1527|135|6|1|48|1

　　典型特征：目的端口135，协议类型TCP，字节数48

　　

　　5. 冲击波杀手（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）

　　

　　2003年8月18日起发现，其产生的ICMP流量对全球互联网造成了很大影响，2004年后病毒流量明显减少。

　　

　　211.*.*.91|211.*.*.77|Others|Others|4|0|0|

　　2048|1|1|92|1

　　211.*.*.91|211.*.*.78|Others|Others|4|0|0|

　　2048|1|1|92|1

　　211.*.*.91|211.*.*.79|Others|Others