|
1. 判斷異常流量流向
因為目前多數(shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù),所以采集異常流量NetFlow數(shù)據(jù)之前�,首先要判斷異常流量的流向�,進而選擇合適的物理端口去采集數(shù)據(jù)��。
流量監(jiān)控管理軟件是判斷異常流量流向的有效工具��,通過流量大小變化的監(jiān)控���,可以幫助我們發(fā)現(xiàn)異常流量�����,特別是大流量異常流量的流向��,從而進一步查找異常流量的源����、目的地址。
目前最常用的流量監(jiān)控工具是免費軟件MRTG���,下圖為利用MRTG監(jiān)測到的網(wǎng)絡(luò)異常流量實例�����,可以看出被監(jiān)測設(shè)備端口在當天4:00至9:30之間產(chǎn)生了幾十Mbps的異常流量��,造成了該端口的擁塞(峰值流量被拉平)�。
如果能夠?qū)⒘髁勘O(jiān)測部署到全網(wǎng)���,這樣在類似異常流量發(fā)生時��,就能迅速找到異常流量的源或目標接入設(shè)備端口�����,便于快速定位異常流量流向����。
有些異常流量發(fā)生時并不體現(xiàn)為大流量的產(chǎn)生,這種情況下��,我們也可以綜合異常流量發(fā)生時的其它現(xiàn)象判斷其流向���,如設(shè)備端口的包轉(zhuǎn)發(fā)速率��、網(wǎng)絡(luò)時延��、丟包率���、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素��。
2. 采集分析NetFlow數(shù)據(jù)
判斷異常流量的流向后���,就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口��,實施Neflow配置�,采集該端口入流量的NetFlow數(shù)據(jù)。
以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實例:
ip flow-export source Loopback0
ip flow-export destination *.*.*.61 9995
ip flow-sampling-mode packet-interval 100
interface GigabitEthernet10/0
ip route-cache flow sampled
通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61��,該實例中采用sampled模式�����,采樣間隔為100:1��。
3. 處理異常流量的方法
(1)切斷連接
在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下��,切斷異常流量源設(shè)備的物理連接是最直接的解決辦法���。
(2)過濾
采用ACL(Access Control List)過濾能夠靈活實現(xiàn)針對源目的IP地址��、協(xié)議類型����、端口號等各種形式的過濾�,但同時也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用,下例為利用ACL過濾UDP 1434端口的實例:
access-list 101 deny udp any any eq 1434
access-list 101 permit ip any any
此過濾針對蠕蟲王病毒(SQL Slammer)��,但同時也過濾了針對SQL Server的正常訪問�����,如果要保證對SQL Server的正常訪問,還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實施更細化的過濾策略(本文略)�����。
(3)靜態(tài)空路由過濾
能確定異常流量目標地址的情況下����,可以用靜態(tài)路由把異常流量的目標地址指向空(Null),這種過濾幾乎不消耗路由器系統(tǒng)資源���,但同時也過濾了對目標地址的正常訪問����,配置實例如下:
ip route 205.*.*.2 255.255.255.255 Null 0
對于多路由器的網(wǎng)絡(luò)����,還需增加相關(guān)動態(tài)路由配置,保證過濾在全網(wǎng)生效�����。
(4)異常流量限定
利用路由器CAR功能���,可以將異常流量限定在一定的范圍�,這種過濾也存在消耗路由器系統(tǒng)資源的副作用���,以下為利用CAR限制UDP 1434端口流量的配置實例:
Router# (config) access-list 150 deny udp any any eq 1434
Router# (config) access-list 150 permit ip any any
Router# (config) interface fastEthernet 0/0
Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
conform-action drop exceed-action drop
此配置限定UDP 1434端口的流量為8Kbps���。
五、常見蠕蟲病毒的NetFlow分析案例
利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量��,特別是對于近年來在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲病毒�����,其分析效果非常明顯���,以下為幾種蠕蟲病毒的NetFlow分析實例:
1. 紅色代碼 (Code Red Worm)
2001年7月起發(fā)作����,至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)�����。
211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
NetFlow流數(shù)據(jù)典型特征:目的端口80, 協(xié)議類型80�����,包數(shù)量3,字節(jié)數(shù)144����。
2. 硬盤殺手(worm.opasoft,W32.Opaserv.Worm)
2002年9月30日起發(fā)作����,曾對許多網(wǎng)絡(luò)設(shè)備性能造成影響,2003年后逐漸減少�。
61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
NetFlow流數(shù)據(jù)典型特征:目的端口137,協(xié)議類型UDP��,字節(jié)數(shù)78��。
3. 2003蠕蟲王 (Worm.NetKiller2003����,WORM_SQLP1434,W32.Slammer���,W32.SQLExp.Worm)
2003年1月25日起爆發(fā)�����,造成全球互聯(lián)網(wǎng)幾近癱瘓����,至今仍是互聯(lián)網(wǎng)中最常見的異常流量之一�。
61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
NetFlow流數(shù)據(jù)典型特征:目的端口1434,協(xié)議類型UDP�����,字節(jié)數(shù)404
4. 沖擊波 (WORM.BLASTER�,W32.Blaster.Worm)
2003年8月12日起爆發(fā),由其引發(fā)了危害更大的沖擊波殺手病毒��。
211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
典型特征:目的端口135�,協(xié)議類型TCP,字節(jié)數(shù)48
5. 沖擊波殺手(Worm.KillMsBlast�����,W32.Nachi.worm�����,W32.Welchia.Worm)
2003年8月18日起發(fā)現(xiàn)��,其產(chǎn)生的ICMP流量對全球互聯(lián)網(wǎng)造成了很大影響,2004年后病毒流量明顯減少����。
211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.79|Others|Others
|
蘇公網(wǎng)安備32010202010135號