|
1. 判斷異常流量流向
因為目前多數(shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù)��,所以采集異常流量NetFlow數(shù)據(jù)之前��,首先要判斷異常流量的流向��,進而選擇合適的物理端口去采集數(shù)據(jù)�。
流量監(jiān)控管理軟件是判斷異常流量流向的有效工具,通過流量大小變化的監(jiān)控�����,可以幫助我們發(fā)現(xiàn)異常流量����,特別是大流量異常流量的流向���,從而進一步查找異常流量的源�、目的地址����。
目前最常用的流量監(jiān)控工具是免費軟件MRTG,下圖為利用MRTG監(jiān)測到的網(wǎng)絡(luò)異常流量實例��,可以看出被監(jiān)測設(shè)備端口在當天4:00至9:30之間產(chǎn)生了幾十Mbps的異常流量����,造成了該端口的擁塞(峰值流量被拉平)���。
如果能夠?qū)⒘髁勘O(jiān)測部署到全網(wǎng),這樣在類似異常流量發(fā)生時�����,就能迅速找到異常流量的源或目標接入設(shè)備端口����,便于快速定位異常流量流向。
有些異常流量發(fā)生時并不體現(xiàn)為大流量的產(chǎn)生���,這種情況下����,我們也可以綜合異常流量發(fā)生時的其它現(xiàn)象判斷其流向�,如設(shè)備端口的包轉(zhuǎn)發(fā)速率、網(wǎng)絡(luò)時延�、丟包率、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素��。
2. 采集分析NetFlow數(shù)據(jù)
判斷異常流量的流向后�����,就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口,實施Neflow配置�����,采集該端口入流量的NetFlow數(shù)據(jù)�。
以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實例:
ip flow-export source Loopback0
ip flow-export destination *.*.*.61 9995
ip flow-sampling-mode packet-interval 100
interface GigabitEthernet10/0
ip route-cache flow sampled
通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61,該實例中采用sampled模式�,采樣間隔為100:1。
3. 處理異常流量的方法
(1)切斷連接
在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下��,切斷異常流量源設(shè)備的物理連接是最直接的解決辦法�����。
(2)過濾
采用ACL(Access Control List)過濾能夠靈活實現(xiàn)針對源目的IP地址�����、協(xié)議類型�、端口號等各種形式的過濾��,但同時也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用��,下例為利用ACL過濾UDP 1434端口的實例:
access-list 101 deny udp any any eq 1434
access-list 101 permit ip any any
此過濾針對蠕蟲王病毒(SQL Slammer)����,但同時也過濾了針對SQL Server的正常訪問�,如果要保證對SQL Server的正常訪問�,還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實施更細化的過濾策略(本文略)。
(3)靜態(tài)空路由過濾
能確定異常流量目標地址的情況下�,可以用靜態(tài)路由把異常流量的目標地址指向空(Null),這種過濾幾乎不消耗路由器系統(tǒng)資源��,但同時也過濾了對目標地址的正常訪問���,配置實例如下:
ip route 205.*.*.2 255.255.255.255 Null 0
對于多路由器的網(wǎng)絡(luò)����,還需增加相關(guān)動態(tài)路由配置��,保證過濾在全網(wǎng)生效�����。
(4)異常流量限定
利用路由器CAR功能�,可以將異常流量限定在一定的范圍,這種過濾也存在消耗路由器系統(tǒng)資源的副作用�,以下為利用CAR限制UDP 1434端口流量的配置實例:
Router# (config) access-list 150 deny udp any any eq 1434
Router# (config) access-list 150 permit ip any any
Router# (config) interface fastEthernet 0/0
Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
conform-action drop exceed-action drop
此配置限定UDP 1434端口的流量為8Kbps。
五��、常見蠕蟲病毒的NetFlow分析案例
利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量,特別是對于近年來在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲病毒���,其分析效果非常明顯���,以下為幾種蠕蟲病毒的NetFlow分析實例:
1. 紅色代碼 (Code Red Worm)
2001年7月起發(fā)作,至今仍在網(wǎng)絡(luò)流量中經(jīng)常出現(xiàn)����。
211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
NetFlow流數(shù)據(jù)典型特征:目的端口80, 協(xié)議類型80,包數(shù)量3�,字節(jié)數(shù)144。
2. 硬盤殺手(worm.opasoft�����,W32.Opaserv.Worm)
2002年9月30日起發(fā)作�,曾對許多網(wǎng)絡(luò)設(shè)備性能造成影響�,2003年后逐漸減少。
61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
NetFlow流數(shù)據(jù)典型特征:目的端口137��,協(xié)議類型UDP�,字節(jié)數(shù)78。
3. 2003蠕蟲王 (Worm.NetKiller2003���,WORM_SQLP1434����,W32.Slammer,W32.SQLExp.Worm)
2003年1月25日起爆發(fā)���,造成全球互聯(lián)網(wǎng)幾近癱瘓��,至今仍是互聯(lián)網(wǎng)中最常見的異常流量之一��。
61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
NetFlow流數(shù)據(jù)典型特征:目的端口1434��,協(xié)議類型UDP��,字節(jié)數(shù)404
4. 沖擊波 (WORM.BLASTER��,W32.Blaster.Worm)
2003年8月12日起爆發(fā)��,由其引發(fā)了危害更大的沖擊波殺手病毒��。
211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
典型特征:目的端口135���,協(xié)議類型TCP,字節(jié)數(shù)48
5. 沖擊波殺手(Worm.KillMsBlast,W32.Nachi.worm��,W32.Welchia.Worm)
2003年8月18日起發(fā)現(xiàn)�,其產(chǎn)生的ICMP流量對全球互聯(lián)網(wǎng)造成了很大影響,2004年后病毒流量明顯減少��。
211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.79|Others|Others
|
蘇公網(wǎng)安備32010202010135號