关于联网异常流量的Netflow分析
Netflow 网络异常流量的监测原理
Netflow 网络异常流量的监测原理Netflow 对网络数据的采集具有大覆盖小成本的明显优势,在Netflow在安全领域的应用与传统的DPI的方式和系统扫描的方式,却有着明显的不同。
使得这类产品在定位和实现的功能上和传统大IDS/IPS也不一样。
Network Behavior Anomaly Detection(网络行为异常检测)是NetFlow安全的原理基础。
Netflow流量数据只能分析到协议的第四层,只能够分析到IP 地址、协议和端口号,但是受限制于无法进行包的内容分析,这样就无法得到网络中一些病毒、木马行为的报文特征。
它是从网络流量的行为特征的统计数据进行网络异常的判定的。
网络行为的异常很大一方面是对网络基线数据的违背,反应到一个监控网段范围,往往呈现的就是网络流量的激增和突减。
而在针对网络单个IP的监测的时候分析的是这单个IP来源或者目的IP流量的行为模式,TCP的流量模型等等来进行判断。
GenieATM对网络异常流量的NBAD的检测具体如下面三点:1.1流量异常(Traffic Anomaly) 侦测流量异常模型是将基线模板(Baseline Template)应用于使用者所设定的监测范围内(因特网、互联自治域、子网、路由器、服务器、interface、监测条件等多种模型),流量异常侦测模型主要凭借系统实时对网络中正常流量形成流量基线,再根据网络正常的网络流量模型来动态分析网络中的异常流量,以期最早时间发现网络中流量的激增和突减。
针对不同的网络监测范围,用户可使用定义不同的流量基线模板进行监控。
系统支持自动建立及更新流量基线,也允许管理员手动设定和调整基线的参数和取值期间,并排除某些受异常流量攻击的特定日列入计算,以免影响基线的准确性。
通过参数的设定,系统能根据对网络效能的影响,将网络异常流量的严重性分为多个等级,包括:正常、中度异常(yellow)、高度异常(red),并允许使用者透过参数设定,对每个检测范围设定合适的参数。
网络流量分析NetFlow协议解析
网络流量分析NetFlow协议解析网络流量分析在网络安全和性能监控中起着重要的作用。
而NetFlow协议作为其中一种流量分析的关键工具,在网络管理领域中被广泛应用。
本文将对NetFlow协议进行详细解析,介绍其原理、功能和应用。
一、NetFlow协议简介NetFlow协议是由思科公司于1996年推出的一种网络流量分析技术。
它能够提供流量统计、流量分析和流量监控等功能。
NetFlow协议通过在路由器和交换机上收集、处理和导出流量数据,为网络管理员提供实时的流量信息和网络性能的评估。
二、NetFlow协议的工作原理NetFlow协议的工作原理可以分为三个阶段:数据收集、数据处理和数据导出。
1. 数据收集在网络中的路由器和交换机上,通过配置使其能够将经过设备的流量数据进行收集。
NetFlow支持两种收集方式:Full Flow和Sampled Flow。
Full Flow是指完整地收集每一个流量数据进行处理;Sampled Flow是指以一定的频率采样流量数据进行处理,减少处理开销。
2. 数据处理收集到的流量数据会经过设备内部的处理引擎进行处理。
处理引擎会提取关键信息,如源IP地址、目的IP地址、源端口、目的端口、协议类型等,并基于这些信息生成流记录。
3. 数据导出处理后的流记录会根据配置的规则进行导出。
导出方式有两种:NetFlow v5和NetFlow v9。
NetFlow v5是早期版本,具有广泛的兼容性;NetFlow v9则是最新版本,支持更多的字段,并且具有灵活的配置能力。
三、NetFlow协议的功能NetFlow协议具有以下几个主要功能:1. 流量统计NetFlow可以对流量进行实时统计,包括流量量、带宽利用率、流量峰值等。
这些统计数据可以帮助网络管理员了解网络的负载情况,有助于进行容量规划和性能优化。
2. 流量分析通过对收集到的流量数据进行分析,NetFlow可以帮助管理员发现网络中的异常情况和潜在安全威胁。
【豆丁-精品】-采用Netflow数据的典型异常流量检测方法
第38卷 增刊 电 子 科 技 大 学 学 报 V ol.38 Suppl2009年11月 Journalof University of Electronic Science and Technology of China Nov. 2009 采用Netflow 数据的典型异常流量检测方法田 杨,王 宏,陈晓梅(国防科技大学计算机学院 长沙 410073)【摘要】基于Netflow 数据提出了根据流量特征进行异常检测的方法;分析了造成异常流量的DDoS 和端口扫描的流量特征两种网络攻击行为;并根据其特征进行用户可控的实时异常流量检测,给出告警,报告异常的时空坐标。
用户可以调整自己的参数设置,在计算时间和空间上平衡自己的参数,得到满意的结果。
采用Web 形式和CS 架构模式进行异常监控的实时显示,用户可以实时地在任何连接到服务器的主机设置参数和查看检测结果。
关 键 词 DdoS; 流量特征; netflow; 端口扫描; 实时检测中图分类号 TP393 文献标识码 A doi:10.3969/j.issn.1001-0548.2009.z1.009Typical Traffic Abnormal Detection Based on NetflowTIAN Yang, WANG Hong, and CHEN Xiao-mei(School of Computer, National University of Defence Technology Changsha 410073)Abstract The paper presents a method based on Netflow data and flow’s character to detect abnormal activities in the network. Two behaviors which induce abnormal activities: the properties of DDoS and port scan’s flows are analyzed. And abnormal flows in real time according to the user’s setup is detected, then alert the user and show the abnormal activities coordinates of the time-space. User can balance the time and space’s parameters to get satisfactory result. The CS model on Web is used to detect abnormal flows in real time, the users who connect to the server can setup the parameters and get the result.Key words DDoS; flow character; netflow; port scaning; real time detecting收稿日期: 2009 − 09 − 15作者简介:田 杨(1983 − ),男,硕士,主要从事计算机网络安全方面的研究.网络异常流量是指网络的流量行为偏离其正常行为的情形,引起网络流量异常的原因很多,如网络设备的软硬件异常、网络操作异常、闪现拥挤(flash crowd)、网络攻击行为等。
流量分析新贵-NetFlow
流量分析新贵:NetFlow/networks/ 2006年09月29日15:54 来源:厂商稿件作者:东软:姚伟栋字号:小 | 大【文章摘要】IP网络承载能力与所提供的应用业务规模向来都是相辅相成的,一方面IP网络的建设将给新应用技术的推广提供有效的实施平台,另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求,从而推动IP网络基础建设进入新的建设周期。
IP网络承载能力与所提供的应用业务规模向来都是相辅相成的,一方面IP网络的建设将给新应用技术的推广提供有效的实施平台,另一方面应用业务也会随着自身系统发展需要而对现有IP网络提出更高的资源需求,从而推动IP网络基础建设进入新的建设周期。
在这种类似于“鸡生蛋、蛋生鸡”的逻辑悖论中,另外一个问题却是毋庸置疑的凸现了出来,那就是如何把应用业务与其所占用的IP资源(如带宽)清晰、准确的对应起来,如何保证有限的IP资源能够被合理应用的到主要利润业务中。
以NetFlow为代表的Flow技术正是为响应这种挑战而出现的新型解决途径。
什么是Flow在最开始,Flow是网络设备厂商为了在网元设备内部提高路由转发速度而引入的一个技术概念,其本意是将高CPU消耗的路由表软件查询匹配作业部分转移到硬件实现的快速转发模块上(如Cisco的CEF模式)。
在这种功能模式中,数据包将通过几个给定的特征定义归并到特定的集合中,这个集合就是Flow。
每个Flow的第一个数据包除了促使该Flow记录的产生以外,还要驱动网元三层模块完成路由查询并将查询结果同期放入Flow记录中,而该Flow集合的后续数据包将直接在Flow的已有记录中获得路由转发信息,从而提高了网元设备的路由转发效率。
作为网元设备内部路由机制优化的副产物,Flow记录能够提供传统SNMP MIB无法比拟的丰富信息,因此Flow数据被广泛用于高端网络流量测量技术的支撑,以提供网络监控、流量图式分析、应用业务定位、网络规划、快速排错、安全分析(如DDOS)、域间记帐等数据挖掘功能。
Netflow网络流量分析手册
Netflow网络流量分析手册Netflow网络流量分析手册作者:聂晓亮(毛蛋哥)目录一、作者简介 (4)二、为什么会有这本书 (5)三、流量分析原理 (6)(一)原始流量分析方式 (6)(二)Netflow分析方式 (6)四、流量采样 (8)(一)在网络设备上开启Netflow功能 (8)(二)网络设备不支持Netflow (9)1.部署方式 (9)2.安装Fprobe (11)3.启动Fprobe (11)4.镜像流量至Fprobe服务器 (12)5.检测是否收到Netflow数据 (12)五、部署服务器 (13)(一)硬件需求 (13)(二)安装FreeBSD (13)(三)安装Nfsen (14)1.安装apache22 (14)2.安装php5 (14)3.安装nfsen (15)(四)安装PortTracker (15)(五)访问Nfsen (16)六、抓贼攻略 (18)(一)了解网络运行状况 (18)(二)什么协议吞了带宽 (22)(三)抓出罪魁祸首 (25)七、感谢 (30)一、作者简介本书作者聂晓亮,网名毛蛋哥。
2004年毕业于北京联合大学信息工程学院,热爱网络相关知识及摄影,机缘巧合参加了Cisco认证培训,并获得了一些成绩。
本书写于2008年10月,作者目前状态工作较为舒适,故有空闲时间完成此书。
聂晓亮(毛蛋哥)拥有自己的Blog及Wiki空间,其中记录了作者的工作、生活、学习。
作者希望通过此书以及Blog、Wiki同全世界的网络爱好者分享其知识与快乐。
聂晓亮(毛蛋哥)的Blog:聂晓亮(毛蛋哥)的Wiki:欢迎交流:********************二、为什么会有这本书在工作的几年当中,经常有朋友和一些网友问我一些关于流量分析的问题,诸如:●我们局域网怎么这么慢,是不是有人在下BT?●192.168.0.1也没人用,怎么网卡疯狂闪烁,它在做什么?●老板让我查查服务器为什么总是那么大流量,可我不知道从何下手。
使用NetFlow分析网络异常流量
一、前言近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。
然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。
本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,其中重点讲述了NetFlow分析在互联网异常流量防护中的应用及典型案例。
二、NetFlow简介本文对互联网异常流量的特征分析主要基于NetFlow数据,因此首先对NetFlow做简单介绍。
1. NetFlow概念NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow 缓存同时包含了随后数据流的统计信息。
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
2. NetFlow数据采集针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。
Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow数据,其它许多厂家也提供类似的采集软件。
下例为利用NFC2.0采集的网络流量数据实例:211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1出于安全原因考虑,本文中出现的IP地址均经过处理。
NetFlow数据也可以在路由器上直接查看,以下为从Cisco GSR路由器采集的数据实例,:gsr #att 2 (登录采集NetFlow数据的GSR 2槽板卡)LC-Slot2>sh ip cache flowSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP PktsGi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1本文中的NetFlow数据分析均基于NFC采集的网络流量数据,针对路由器直接输出的Neflow数据,也可以采用类似方法分析。
基于NetFlow流量行为分析的网络异常检测
1 引言 、
行为模式簇质心集合 { l 上 中找不到与 相近的模式, f 1 i } 即
随着 网络 技 术 的 不断 发 展 和 网络 规 模 的不 断 扩大 , 网络 入 侵 的 Di( , ) s X, 相对 较 大 。 t 机 会也 越 来 越 多 , 络安 全 已 经成 为 一个 全 球 性 的 重要 问题 . 网 网 在 络 安 全 问题 日益 突 出 的今 天 , 何 迅 速 、 效地 发 现 各 类 新 的入 侵 如 有 3 异常 检测 算 法 , 网络流量中不 同协议的流密度分布可以描述网络行为 , 网络行 行为 , 保 证系 统和 网络 资 源 的安全 显得 十分 重要 。 对于 本文 提 出 了… 种 新 的 基 于 NeFo t lw流量 分析 的 网 络 异 常检 测 为问的距离可 以描述不同网络行为之 间的区别 , 本文用关联度来描 方 法 , 利 用 Cso 司 开 发 的NeFo 它 i 公 c t lw交换 协议 提 高 了采 集 数 据 述不 同网络 行为 之 间 的区别 , 法如 下 : 算 的性 能 , 立 了 具有 自适 应 性 的 网 络 流量 正 常 行 为模 式 , 关联 度 建 用 设 有 两个 网 络行 为 和 ,则其 间 的关 联度 定义 为 , 算法 X N tlw流量 数 据 的 网络 行 为分 布 进行 分 析 , 而 发现 异 常 i , eFo 从 的 网络数 据流 。
s() A / x () m +3 i  ̄ n 2
式 中△ () Ii ) X (), N() 七 =X ( 一 j J1 七 k 3
A =ma { 1 A () . J) x A ( , 2 , ( } ) A Ⅳ
A =mi { 1 △ ( ) A ( } … n 分辨 系 数 , 取 p= . 一般 0 5 设 待检 测 的网 络行 为 和根 据定 义4 计算 得 到 的正 常 网络 行为 模式 , 根据() 1式可得 Xl X 与 的关联度 。根据实验统计 , 。 在正 常 情 况 下一 个 网络 中的正 常 网 络 行为 与 的 关联 度 在较 小 的 范 围
利用Netflow在大规模网络进行蠕虫和网络异常检测
利用Netflow在大规模网络 进行蠕虫和网络异常行为监测 yiming@宫一鸣中盈优创资讯系统有限责任公司July 2004提纲电信网安全特性 netflow? Netflow和电信带宽安全如何预警和监控中盈 netflow在电信的应用电信网的安全特性电信网核心竞争力带宽资源带宽资源面临蠕虫 网络滥用 DoS/DDoS电信网的安全特性如何保护和监控防火墙 ? 部署问题,侧重于点而非面 IDS ? IDS工作在7层,海量数据 需要详细的信息?电信网的安全特性如何保护和监控Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.Netflow是?Flow是由7个关键字段标识的两个通讯终端间单方向的网 络连接[IPsrc, IPdst, srcPort, dstPort, protocol, TOS, Ifindex] 一次telnet~~Netflow是?每当路由器端口上收到一个数据包,都会扫描这7个字段 来判断此数据包是否属于一个已经存在的flow: YES, FLOW COUNTED NO, NEW FLOW CREATED 在新的flow不断生成的同时,cache内过期的flow记录以 UDP方式导出Netflow 版本主流的路由器厂家Cisco、Juniper、Extreme 路由设备上支持并在研 发自己版本的 netflow 技术 版本五的netflow输出(V5)是最常见的,并被广泛支持。
NetFlow数据处理与异常检测研究的开题报告
NetFlow数据处理与异常检测研究的开题报告一、研究背景和意义近年来,随着互联网的快速发展和普及,网络安全问题日益引起人们的关注。
其中,网络流量分析技术是网络安全领域中不可或缺的一部分。
而NetFlow技术以其高效、快速、准确等特点成为了一种重要的网络流量分析技术。
NetFlow是思科公司提出的一种网络流量分析技术,它可以捕获网络中的数据流,并将其转化为流量数据。
利用NetFlow技术,可以对网络流量进行分析、统计、监控等,从而帮助网络管理员及时发现潜在的网络安全问题。
随着互联网的不断发展和应用范围的扩大,网络流量日益复杂多样,网络攻击手段也越来越多样化和隐蔽化。
因此,为了进一步提高网络安全防护能力,需要对NetFlow数据进行深入研究和分析,以实现对异常流量的检测和预防。
本研究旨在对NetFlow数据进行处理和分析,开发一种NetFlow异常检测算法,提高网络安全防护能力。
二、研究内容和方法(一)研究内容本研究的主要内容包括:1. NetFlow数据处理:对原始NetFlow数据进行预处理,包括数据清洗、去重、格式化等操作,以方便后续的分析和处理。
2. 特征提取:利用机器学习等技术,对处理后的NetFlow数据进行特征提取,提取出能够反映流量特征的多种指标信息。
3. 异常检测:根据NetFlow数据的特征信息,设计一种能够有效检测网络异常流量的算法。
4. 系统实现:将上述处理过程和算法实现为一个完整的系统,方便用户对网络流量分析和异常检测。
(二)研究方法本研究采用以下研究方法:1. NetFlow数据处理:利用Python等编程语言,对原始NetFlow数据进行清洗、去重、格式化等处理,提高数据处理效率和准确性。
2. 特征提取:运用机器学习等技术,对NetFlow数据进行特征工程,提取出多种具有代表性的指标。
3. 异常检测:基于机器学习、数据挖掘等相关技术设计出一种有效的异常检测算法,对NetFlow数据进行分析和处理。
基于NetFlowAnalyzer网络流量监控分析软件设计
基于NetFlow Analyzer网络流量监控分析软件设计发布时间:2023-01-17T02:30:40.780Z 来源:《中国科技信息》2022年18期作者:沈建标倪一苇[导读] 随着科技的进步,技术的更新,园区网和IDC网络发展呈现了爆炸式增长沈建标倪一苇浙江经贸职业技术学院摘要随着科技的进步,技术的更新,园区网和IDC网络发展呈现了爆炸式增长。
服务器接入速率从1Gb/s到10Gb/s发展至现在的25Gb/s,新业务层出不穷,而且仍在不断往前迭代。
对网络的运维造成了很大的冲击,网络攻击,病毒,恶意软件等紧随而来,网络安全问题变的越来越严重,网络运维问题变得越来越困难。
随之而来的网络设备的数据和产生log日志数据呈现出指数式的增长,不足的是目前的技术越来难以支撑网络流量实现快速,精细,多维度的分析。
当前需要一套完整的,全新的,可视化的方案解决当前的存在的不足。
本设计方案使用图形化界面以不同图形方式展示各种网络流量,用于帮助网络工程师更方便快捷全面的掌握网络中的异常流量及异常流量发生的时间,以便于管理人员实时准确的掌握网络业务和协议的大小及类型。
关键词:B/S结构;NetFlow;NFDUMP;Django;Python;数据可视化第1章绪论1.1 NetFlow产生的背景和意义随着互联网越来越高速的发展,为客户业务提供了更高速的带宽,支撑着越来越多流量和应用部署。
传统的网络排障和监控方式如Wireshark、SNMP、QOS流通等越来越无法满足客户的需求。
由于现有工具对流量监管和统计的不灵活,定位故障速度慢,专用流量分析设备价格高等原因,不能对网络流量更精细的分析,需要一套更完整的网络流量监管系统更好的服务于网络流量分析。
为了更好的解决日常网络运维中存在的问题,NetFlow技术应运而生。
像SNMP协议一样,NetFlow技术也是一种根据网络流量信息分类统计分析的技术,且优于SNMP协议实现了很多额外的功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
联网异常流量的Netflow分析 (作者: 铮)铮(中国联通数据与固定通信业务部)摘要本文从互联网运营商的视角,利用Netflow分析手段,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,并给出了近年来一些典型互联网异常流量的Netflow分析案例。
关键词互联网异常流量 Netflow 流量分析DoS/DDoS 蠕虫病毒一、前言近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。
然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。
本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,其中重点讲述了Netflow分析在互联网异常流量防护中的应用及典型案例。
二、Netflow简介本文对互联网异常流量的特征分析主要基于Netflow数据,因此首先对Netflow做简单介绍。
1. Netflow概念NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow 缓存同时包含了随后数据流的统计信息。
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。
2. Netflow数据采集针对路由器送出的Netflow数据,可以利用Netflow数据采集软件存储到服务器上,以便利用各种Netflow数据分析工具进行进一步的处理。
Cisco提供了Cisco Netflow Collector(NFC)采集Netflow数据,其它许多厂家也提供类似的采集软件。
下例为利用NFC2.0采集的网络流量数据实例:211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1出于安全原因考虑,本文中出现的IP地址均经过处理。
Netflow数据也可以在路由器上直接查看,以下为从Cisco GSR路由器采集的数据实例,:gsr #att 2 (登录采集Netflow数据的GSR 2槽板卡)LC-Slot2>sh ip cache flowSrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A 1 本文中的Netflow数据分析均基于NFC采集的网络流量数据,针对路由器直接输出的Neflow数据,也可以采用类似方法分析。
3. Netflow数据采集格式说明NFC 可以定制多种Netflow数据采集格式,下例为NFC2.0采集的一种流量数据实例,本文的分析都基于这种格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1数据中各字段的含义如下:源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量4. 几点说明Netflow主要由Cisco路由器支持,对于其它厂家的网络产品也有类似的功能,例如Juniper路由器支持sFlow功能。
Netflow支持情况与路由器类型、板卡类型、IOS版本、IOS授权都有关系,不是在所有情况下都能使用,使用时需考虑自己的软硬件配置情况。
本文的所有分析数据均基于采自Cisco路由器的Netflow数据。
三、互联网异常流量的Netflow分析要对互联网异常流量进行分析,首先要深入了解其产生原理及特征,以下将重点从Netflow数据角度,对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。
1. 异常流量的种类目前,对互联网造成重大影响的异常流量主要有以下几种:(1)拒绝服务攻击(DoS)DoS攻击使用非正常的数据流量攻击网络设备或其接入的服务器,致使网络设备或服务器的性能下降,或占用网络带宽,影响其它相关用户流量的正常通信,最终可能导致网络服务的不可用。
例如DoS可以利用TCP协议的缺陷,通过SYN打开半开的TCP连接,占用系统资源,使合法用户被排斥而不能建立正常的TCP连接。
以下为一个典型的DoS SYN攻击的Netflow数据实例,该案例中多个伪造的源IP同时向一个目的IP发起TCP SYN攻击。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1104.*.93.81|211.*.*.49|Others|64851|3|2|5557|5928|6|1|40|158.*.255.108|211.*.*.49|Others|64851|3|2|3330|10000|6|1|40|1由于Internet协议本身的缺陷,IP包中的源地址是可以伪造的,现在的DoS工具很多可以伪装源地址,这也是不易追踪到攻击源主机的主要原因。
(2)分布式拒绝服务攻击(DDoS)DDoS把DoS又发展了一步,将这种攻击行为自动化,分布式拒绝服务攻击可以协调多台计算机上的进程发起攻击,在这种情况下,就会有一股拒绝服务洪流冲击网络,可能使被攻击目标因过载而崩溃。
以下为一个典型的DDoS攻击的Netflow数据实例,该案例中多个IP同时向一个IP发起UDP攻击。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|17|6571|9856500|1211.*.*.163|69.*.*.100|64751|as9|3|9|18423|22731|17|906|1359000|161.*.*.145|69.*.*.100|64731|Others|2|0|52452|22157|17|3|4500|1(3)网络蠕虫病毒流量网络蠕虫病毒的传播也会对网络产生影响。
近年来,Red Code、SQL Slammer、冲击波、振荡波等病毒的相继爆发,不但对用户主机造成影响,而且对网络的正常运行也构成了的危害,因为这些病毒具有扫描网络,主动传播病毒的能力,会大量占用网络带宽或网络设备系统资源。
以下为最近出现的振荡波病毒Netflow数据实例,该案例中一个IP同时向随机生成的多个IP发起445端口的TCP连接请求,其效果相当于对网络发起DoS攻击。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|445|6|1|48|161.*.*.*|32.*.*.207|Others|Others|3|0|10000|445|6|1|48|161.*.*.*|24.*.*.23|Others|Others|3|0|10000|445|6|1|48|1(4)其它异常流量我们把其它能够影响网络正常运行的流量都归为异常流量的畴,例如一些网络扫描工具产生的大量TCP连接请求,很容易使一个性能不高的网络设备瘫痪。
以下为一个IP对167.*.210.网段,针对UDP 137端口扫描的Netflow 数据实例:211.*.*.54|167.*.210.95|65211|as3|2|10|1028|137|17|1|78|1211.*.*.54|167.*.210.100|65211|as3|2|10|1028|137|17|1|78|1211.*.*.54|167.*.210.103|65211|as3|2|10|1028|137|17|1|78|12. 异常流量流向分析从异常流量流向来看,常见的异常流量可分为三种情况:•网外对本网的攻击•本网对网外的攻击•本网对本网的攻击针对不同的异常流量流向,需要采用不同的防护及处理策略,所以判断异常流量流向是进一步防护的前提,以下为这三种情况的Netflow数据实例: 124.*.148.110|211.*.*.49|Others|64851|3|2|10000|10000|6|1|40|1211.*.*.54|167.*.210.252|65211|as3|2|10|1028|137|17|1|78|1211.*.*.187|211.*.*.69|Others|localas|71|6|1721|445|6|3|144|1其中211开头的地址为本网地址。
3. 异常流量产生的后果异常流量对网络的影响主要体现在两个方面:占用带宽资源使网络拥塞,造成网络丢包、时延增大,严重时可导致网络不可用;占用网络设备系统资源(CPU、存等),使网络不能提供正常的服务。
4. 异常流量的数据包类型常见的异常流量数据包形式有以下几种:•TCP SYN flood(40字节)11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|1|40|1从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为6(TCP),数据流大小为40字节(通常为TCP的SYN连接请求)。
•ICMP flood2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|218359704|1从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为1(ICMP),单个数据流字节数达218M字节。
•UDP flood*.*.206.73|160.*.71.129|64621|Others|6|34|1812|1812|17|224|336000|1*.*.17.196|25.*.156.119|64621|Others|6|34|1029|137|17|1|78|1从netflow的采集数据可以看出,此异常流量的典型特征是数据包协议类型为17(UDP),数据流有大有小。
•其它类型其它类型的异常流量也会在网络中经常见到,从理论上来讲,任何正常的数据包形式如果被大量滥用,都会产生异常流量,如以下的DNS正常访问请求数据包(协议类型53)如果大量发生,就会产生对DNS服务器的DoS攻击。
211.*.*.146|211.*.*.129|Others|Others|71|8|3227|53|53|1|59|15. 异常流量的源、目的地址•目的地址为固定的真地址,这种情况下目的地址通常是被异常流量攻击的对象,如下例数据:211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|17|2|3000|2211.*.*.153|*.10.72.226|as2|as8|5|4|3845|10000|17|1|1500|1211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|17|1|1500|1•目的地址随机生成,如下例数据:211.*.*.187|169.*.190.17|Others|localas|71|6|1663|445|6|3|144|1211.*.*.187|103.*.205.148|Others|localas|71|6|3647|445|6|3|144|1211.*.*.187|138.*.80.79|Others|localas|71|6|1570|445|6|3|144|1•目的地址有规律变化,如下例数据,目的地址在顺序增加:211.*.*.219|192.*.254.18|Others|Others|15|9|10000|6789|17|1|36|1211.*.*.219|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2211.*.*.219|192.*.254.20|Others|Others|15|9|10000|6789|17|3|108|3•源地址为真实IP地址,数据同上例:•源地址为伪造地址,这种情况源地址通常随机生成,如下例数据,源地址都是伪造的网络地址:63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|1|40|112.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|1|40|1212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|1|40|16. 异常流量的源、目的端口分析•异常流量的源端口通常会随机生成,如下例数据:211.*.*.187|169.172.190.17|Others|localas|71|6|1663|445|6|3|144|1211.*.*.187|103.210.205.148|Others|localas|71|6|3647|445|6|3|144|1211.*.*.187|138.241.80.79|Others|localas|71|6|1570|445|6|3|144|1•多数异常流量的目的端口固定在一个或几个端口,我们可以利用这一点,对异常流量进行过滤或限制,如下例数据,目的端口为UDP 6789:211.*.*.219|192.*.254.18|Others|Others|15|9|10000|6789|17|1|36|1211.*.*.219|192.*.254.19|Others|Others|15|9|10000|6789|17|2|72|2211.*.*.219|192.*.254.20|Others|Others|15|9|10000|6789|17|3|108|3四、利用Netflow工具处理防网络异常流量从某种程度上来讲,互联网异常流量永远不会消失而且从技术上目前没有根本的解决办法,但对网管人员来说,可以利用许多技术手段分析异常流量,减小异常流量发生时带来的影响和损失,以下是处理网络异常流量时可以采用的一些方法及工具:1. 判断异常流量流向因为目前多数网络设备只提供物理端口入流量的Netflow数据,所以采集异常流量Netflow数据之前,首先要判断异常流量的流向,进而选择合适的物理端口去采集数据。