|
隨著網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展�,很多學校網(wǎng)絡(luò)帶寬大幅增加���,而網(wǎng)絡(luò)使用的效能卻沒有成正比的提升。要做到有效的網(wǎng)絡(luò)管理����,就需要通過網(wǎng)絡(luò)監(jiān)控機制搜集相關(guān)信息,主動找出問題點并加以解決�����。 NetFlow 就是一種提供網(wǎng)絡(luò)流量相關(guān)信息的協(xié)議�,網(wǎng)管人員通過 NetFlow 可以快速有效地掌握所管轄網(wǎng)絡(luò)的狀態(tài)。接下來我們會依序介紹 NetFlow 與之前網(wǎng)絡(luò)管理機制的差異及其運作機制�����,最后介紹目前 NetFlow 的相關(guān)應(yīng)用����。
NetFlow的由來
傳統(tǒng)上的網(wǎng)絡(luò)管理者通常是通過 SNMP (Simple Network Management Protocol) 協(xié)議的工具從支持SNMP的網(wǎng)絡(luò)設(shè)施搜集網(wǎng)絡(luò)流量數(shù)據(jù),雖然通過這種方式取得信息不會造成處理上過重的負擔�����,但是 SNMP 提供的只是粗糙、簡略的資料�。這些信息只能讓管理者發(fā)現(xiàn)問題,卻無法進一步解決問題����。
那么有沒有另外一種能提供更詳細網(wǎng)絡(luò)信息的技術(shù)呢?網(wǎng)絡(luò)探針 (sniffer) 或是類似的監(jiān)聽工具開始被部署在網(wǎng)絡(luò)設(shè)備上�����,用來捕捉流過的數(shù)據(jù)包并將數(shù)據(jù)包加以翻譯��,找出數(shù)據(jù)包頭中字段的相關(guān)信息�����,并進一步分析其內(nèi)容以取得更詳細的信息�����。
雖然通過數(shù)據(jù)包監(jiān)聽工具可以取得更詳細的網(wǎng)絡(luò)信息���,但監(jiān)聽工具通常專注在單一網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)容,所以網(wǎng)絡(luò)管理者很難從監(jiān)聽工具所提供的信息來掌握整體網(wǎng)絡(luò)的狀態(tài)�。此外,分析數(shù)據(jù)包非常耗費時間,而且數(shù)據(jù)包監(jiān)聽所儲存并需要分析的數(shù)據(jù)量非常龐大�,對于資源和人員的消耗是驚人的,這種方式顯然不適合高校環(huán)境下的網(wǎng)絡(luò)管理����。
NetFlow 便是在這種情況下應(yīng)運而生并成為網(wǎng)管人員熱門工具的,越來越多的學校在通過這一工具了解網(wǎng)絡(luò)使用情形�����。NetFlow 不僅能提供更詳細的網(wǎng)絡(luò)信息���,而且其分析方式避免了網(wǎng)絡(luò)頻寬及運算資源過重的負擔���。
NetFlow 運作機制
NetFlow 是由 Cisco 公司的 Darren Kerr 和 Barry Bruins 在 1996 年開發(fā)的一套網(wǎng)絡(luò)流量監(jiān)測技術(shù),目前已內(nèi)建在大部分 Cisco 路由器上��, Juniper����、Ex-treme、港灣網(wǎng)絡(luò)等網(wǎng)絡(luò)設(shè)備供貨商也支持 NetFlow 技術(shù)���,它已逐漸成為大家都能接受的標準����。
NetFlow 本身是一套網(wǎng)絡(luò)流量統(tǒng)計協(xié)議��,其主要原理是根據(jù)網(wǎng)絡(luò)數(shù)據(jù)包傳輸時��,連續(xù)相鄰的數(shù)據(jù)包通常是往相同目的地 IP 地址傳送的特性��,配合 cache 快取機制�,當網(wǎng)絡(luò)管理者開啟路由器或交換機接口的 NetFlow 功能時,設(shè)備會在接收數(shù)據(jù)包時分析其數(shù)據(jù)包的標頭部分來取得流量資料����,并將所接到的數(shù)據(jù)包流量信息匯整成一筆一筆的Flow,在 NetFlow 協(xié)議中 Flow 是被定義為兩端點間單一方向連續(xù)的數(shù)據(jù)流�����,這意味著每一個網(wǎng)絡(luò)的連接都會被分別紀錄成兩筆 Flow 數(shù)據(jù)���,其中一筆記錄從客戶端連到服務(wù)器端,另外隨著一筆紀錄從服務(wù)器端連回到客戶端的信息���。
網(wǎng)絡(luò)設(shè)備通過以下字段來區(qū)分每一筆 Flow:來源 IP 地址(source IP address)�����、來源端口號(source port number)����、目的 IP 位址(destination IP address)、目的端口號(destination port number)��、協(xié)議種類(protocol type)���、服務(wù)種類(type of service)及路由器輸入接口(router input interface)����,任何時間當設(shè)備接收到新的數(shù)據(jù)包時���,會檢視這七個字段來判斷這個數(shù)據(jù)包是否屬于任何已記錄的 Flow�����,有的話則將新收集到的數(shù)據(jù)包的相關(guān)流量信息整合到對應(yīng)的 Flow 記錄中�����,如果找不到數(shù)據(jù)包對應(yīng)的 Flow 記錄�,便產(chǎn)生一個新的 Flow 記錄來儲存相關(guān)的流量信息。由于設(shè)備內(nèi)高速緩存的空間有限���,無法無限制地容納持續(xù)增加的 Flow 紀錄����,所以 NetFlow 協(xié)議也定義了終結(jié) Flow記錄的機制�,來維持網(wǎng)絡(luò)設(shè)備中儲存 Flow 信息的空間。
只要下面三種情況任何一個成立���,路由器就會通過 UDP 數(shù)據(jù)包將終止的 Flow 紀錄匯出到使用者事先指定的 NetFlow 數(shù)據(jù)收集設(shè)備上:當數(shù)據(jù)包內(nèi)字段 flag 顯示傳輸協(xié)議中傳輸完成的訊息如 TCP FIN 時�;流量停止超過 15 秒����;流量持續(xù)傳送,每 30 分鐘會自動終止�。
雖然大部分的網(wǎng)絡(luò)硬件供貨商都支持NetFlow,但NetFlow版本有很多��,其中 NetFlow Version 5 是常見的 Netflow 數(shù)據(jù)格式�,包含以下幾個字段:Source IP Address (源主機 IP 地址)�����、Destination IP Address (目的主機 IP 位址)、Source TCP/UDP Port (源主機所使用的端口號)��、Destination TCP/UDP Port (目的主機所使用的端口號)�����、Next Hop Address (下一個端點的地址)����、Source AS Number (來源主機所屬的 AS 編號)、Destination AS number (目的主機所屬的 AS 編號)����、Source Prefix Mask (來源主機所屬網(wǎng)域的子網(wǎng)掩碼)、Destination Prefix Mask (目的主機所屬網(wǎng)絡(luò)的子網(wǎng)掩碼)��、Protocol (使用的通訊協(xié)議)�、TCP Flag (數(shù)據(jù)包控制標記)、Type of Service (QoS需求參數(shù))����、Start sysUpTime (起始時間)、End sysUpTime (終止時間)��、Input ifIndex (信息流流入接口編號)����、Output ifindex (信息流流出接口編號)��、Packet Count (數(shù)據(jù)包數(shù)量)���、Byte Count (Byte數(shù)量)。
支持 NetFlow 功能的網(wǎng)絡(luò)設(shè)備將其所收集到的 Flow 信息以 UDP 數(shù)據(jù)包送往預先設(shè)置好的流量接收主機����,配合 NetFlow 相關(guān)收集軟件,將這些原始流量資料作適當?shù)奶幚?���、儲存以提供后續(xù)的相關(guān)應(yīng)用。
NetFlow在網(wǎng)絡(luò)安全上的相關(guān)應(yīng)用
NetFlow 的紀錄能夠提供足夠的信息來協(xié)助網(wǎng)絡(luò)管理者掌握所管轄網(wǎng)絡(luò)中的網(wǎng)絡(luò)異常事件�����,而且由于 NetFlow 不需要對數(shù)據(jù)包內(nèi)容進行分析�����,大大減輕了網(wǎng)絡(luò)設(shè)備運算處理的負擔�����,所以很適合用來分析高速���、忙碌的網(wǎng)絡(luò)環(huán)境��。
由于 NetFlow 數(shù)據(jù)來源是網(wǎng)絡(luò)中的三層數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備��,所以通過從三層設(shè)備所搜集到的 NetFlow 信息可以協(xié)助掌握整體網(wǎng)絡(luò)的情況�,而且通過適當?shù)胤治?span lang=EN-US> NetFlow 信息���,可以協(xié)助管理者在蠕蟲爆發(fā)或不正常網(wǎng)絡(luò)行為的初期快速分析出網(wǎng)絡(luò)中存在的問題�����。接下來我們進一步介紹如何利用 NetFlow中所包含的信息來偵測異常的行為����。
從網(wǎng)絡(luò)層的角度進行分析
一般來說�����,網(wǎng)絡(luò)攻擊行為會存在著某些可供辨識的特征�����,我們可以通過這些特征來與所獲得的 NetFlow 數(shù)據(jù)進行對比,進而找出可能的異常行為�����。我們可以通過分析 NetFlow 數(shù)據(jù)中目的主機所使用端口號字段���,來過濾 NetFlow資料找出相對應(yīng)的攻擊��;另外我們也可以利用不合邏輯的來源或目的 IP 地址來找出異常����;此外��,因特網(wǎng)地址指派機構(gòu) (Internet Assigned Numbers Authority , IANA)將下列三段 IP 地址保留給私有網(wǎng)絡(luò)使用 10.0.0.0~10.255.255.255����、172.16.0.0~172.31.255.255 及 192.168.0.0~192.168.255.255,這幾段網(wǎng)絡(luò)的地址不能出現(xiàn)在外在網(wǎng)絡(luò)環(huán)境中�����,但由于當初網(wǎng)絡(luò)設(shè)計的缺陷���,路由器對于所接收數(shù)據(jù)包的來源地址字段并不會進行驗證�,所以攻擊者可利用這個缺陷偽造來源 IP 地址 (IP Spoofing )來發(fā)動攻擊,避免被追蹤到攻擊來源����,所以我們可以從我們所接受到 NetFlow 數(shù)據(jù)中來源主機所使用的 IP 地址(Source IP Address)字段�,找出偽造來源地址的流量,再利用 NetFlow數(shù)據(jù)中信息流流入接口編號(Input IFindex)字段的信息���,找出連接這個接口的上游路由器����,請他們協(xié)助調(diào)查或處理��。
某些異常行為可能會連到某個或某些特定地址�����。比如在 2001 年造成嚴重網(wǎng)絡(luò)擁塞的Code Red 蠕蟲�����,我們分析所收集到的 NetFlow 資料便可發(fā)現(xiàn)����,此蠕蟲的攻擊行為有一個特性�,每筆 Flow 的 destination TCP/UDP port 字段值會等于 80���,Packet Count 字段值等于 3���,Byte Count 字段值等于 144bytes,網(wǎng)絡(luò)管理者可以撰寫程序分析所搜集的NetFlow數(shù)據(jù)���,找出具備此特征的 Flow 數(shù)據(jù)�,便可找出管轄網(wǎng)絡(luò)內(nèi)有可能感染 Code Red蠕蟲的主機���,并強行將該主機下線或封鎖物理端口以降低蠕蟲造成的危害�。利用已收集到攻擊的特征與NetFlow 信息中的相關(guān)字段進行比對找出可能的攻擊���,可以在造成網(wǎng)絡(luò)嚴重傷害之前���,采取相應(yīng)措施來降低形成嚴重問題的可能性。
從傳輸層的角度進行分析
我們可以通過 NetFlow 數(shù)據(jù)找出網(wǎng)絡(luò)中建立 session 數(shù)目最多的主機��,因為如果一臺主機對特定主機產(chǎn)生不正常的大量連接�,這可能代表著新的蠕蟲��、阻斷服務(wù)攻擊�、網(wǎng)絡(luò)掃描等的可能性�,因為一個正常的主機對外連接會有一定正常的頻率,如果正常的主機感染了蠕蟲�,就可能會開始產(chǎn)生異常的網(wǎng)絡(luò)行為,開始產(chǎn)生對外大量的連接需求來找尋下一個感染的對象����,因此我們可以從感染蠕蟲的主機的 NetFlow 信息中發(fā)現(xiàn)到大量的對外連接需求�����,同樣的原理��,如果所管轄網(wǎng)絡(luò)中的使用者從網(wǎng)絡(luò)上下載阻斷服務(wù)攻擊之工具程序企圖對外發(fā)動攻擊時�����,或是使用者利用 Nmap 之類的掃瞄工具掃瞄特定網(wǎng)址���,以找出目標主機所可能存在弱點或是漏洞時����,我們都可以從 NetFlow 數(shù)據(jù)中發(fā)現(xiàn)從網(wǎng)域中某個特定地址送出的大量 session。
除了偵測網(wǎng)絡(luò)攻擊外����,我們也可以通過分析 session 的方式找出網(wǎng)絡(luò)濫用的行為,例如分析 NetFlow 數(shù)據(jù)中目的主機所使用端口號的信息���,通過分析對外 25 port 連接的相關(guān)信息�,若某一臺主機對外 25 port 連接的數(shù)目在某個特定時間內(nèi)超出正常值過多�����,我們便可合理懷疑這臺主機被利用來散發(fā)廣告信或通過 e-mail感染蠕蟲�����,同樣原理我們也可以應(yīng)用來分析像 emule 等 peer-to-peer 檔案分享軟件常用之 TCP 4662 / UDP 4672 port�,找出網(wǎng)絡(luò)濫用的行為,并進行適當處置以降低其所造成的傷害���。
利用 TCP 的控制過濾出可疑的 Flow
但對于一些大型網(wǎng)絡(luò)�����,攻擊的相關(guān) NetFlow 信息可能會被其它正常的 NetFlow 信息所稀釋��,例如感染病毒的初期或是謹慎的黑客�����,可能會利用正常的流量來掩護其異常行為�����。另外����,當我們遇到新的攻擊手法或是病毒時,可能無法在第一時間掌握其 Flow 特征���,也無法通過特征比對的方式找出異常流量。為了更快速有效地偵測出異常的流量���,我們試著對 TCP 的控制標志進行分析�,希望縮小需要進一步分析的 NetFlow 數(shù)據(jù)量����,以及早發(fā)現(xiàn)異常流量。對蠕蟲而言����,由于其在網(wǎng)絡(luò)中通過感染大量主機進行自我復制的本質(zhì)��,蠕蟲會在很短的時間內(nèi)盡全力探測可能的感染目標����,而且大部分的蠕蟲都是通過 TCP 協(xié)議來傳輸散布��,所以我們可以從 TCP 的控制標志中發(fā)現(xiàn)到一些蛛絲馬跡�,作為我們縮小可疑名單的根據(jù)。
以正常的 TCP 連接建立過程而言��,客戶端會先送出一個 SYN 數(shù)據(jù)包給目的端主機����,接著目的端主機會響應(yīng)一個 SYN/ACK 數(shù)據(jù)包,客戶端在接收到這樣的數(shù)據(jù)包后��,再送回給目的端主機 ACK 數(shù)據(jù)包完成連接�,但并不是每一次都能順利建立連接,由于 NetFlow 會將每個 session中所有傳輸時的 TCP 控制標志全部儲存在數(shù)據(jù)包控制標志 (TCP Flag) 這個字段中�,因此我們可以通過這個字段中的信息來協(xié)助我們推測特定主機聯(lián)機的特性。
若某個 Flow 正常地建立 TCP 連接后�����,其數(shù)據(jù)包控制(TCP Flag) 字段會記錄的包含 ACK、SYN�、FIN 等控制標志,但是如果蠕蟲進行感染的動作時��,由于隨機選取的主機并不一定存在���,或是即使存在但目標主機沒有開放蠕蟲所要感染的 TCP port����,在這種情況下��,NetFlow 信息中由受感染主機對外聯(lián)機所產(chǎn)生的 Flow 數(shù)據(jù)包控制標志(TCP Flag) 字段會只存在 SYN 這個TCP 控制標志��,根據(jù)這種特性網(wǎng)絡(luò)管理者可以先將其 NetFlow 數(shù)據(jù)中數(shù)據(jù)包控制標志 (TCP Flag)字段只有存在 SYN 控制標志的 Flow 數(shù)據(jù)過濾出來���,通過這種方式我們可以把大部分正常的流量排除��,這時候我們要從可疑的數(shù)據(jù)中找出真正異常流量的難度就會降低許多,能快速找出問題���,也可以避免運算資源無謂的浪費����。
利用ICMP的訊息協(xié)助過濾出可疑的Flow
某些蠕蟲或網(wǎng)絡(luò)攻擊也會利用 ICMP 來進行,我們可以從 NetFlow數(shù)據(jù)中過濾出有異常行為的主機��,首先找出通訊協(xié)議 (protocol) 字段值為 1 的 Flow�����,代表所使用的通訊協(xié)議為 ICMP����,再根據(jù)目的主機之端口號 (destination TCP/UDP port)字段值分析出所代表的 ICMP 訊息,例如目的主機之端口號 (destination TCP/UDP port)字段值為 2048�����,轉(zhuǎn)化成八進位為 800����,第一位代表位數(shù)字代表的是 ICMP 的類型,后兩碼為這個 ICMP 類型中的編碼�����,整體的意思是 ICMP echo 請求����;但如果字段值為 769���,轉(zhuǎn)化為八進位則為 301,這個編碼代表的是 ICMP host unreachable�����;如果字段值是 771則代表 ICMP port unreachable���;字段值是 768 則代表 ICMP network unreachable����。我們可以先找出所使用通訊協(xié)議為 ICMP 的 Flow���,進一步過濾出其中目的主機所使用端口號為 768���、769、771 的 Flow�,再進一步分析找出可能的異常行為。通過這種方式從大量 NetFlow 數(shù)據(jù)中過濾出可疑名單����,再對名單內(nèi)的 Flow 數(shù)據(jù)進行進一步的分析���,這樣可以幫助網(wǎng)絡(luò)管理者快速找出問題所在�。
由于目前網(wǎng)絡(luò)帶寬增長非常迅速,僅僅在核心層部署NetFlow可能會導致設(shè)備性能下降���。目前港灣網(wǎng)絡(luò)可以在匯聚層的FlexHammer 5210系列�、核心層的BigHammer 6800系列提供相應(yīng)的NetFlow功能�����,通過核心和匯聚層的NetFlow分布式部署���,可以在確保網(wǎng)絡(luò)性能的前提下提供完善的病毒和網(wǎng)絡(luò)異?��?刂茩C制,從而協(xié)助網(wǎng)絡(luò)管理者完成網(wǎng)絡(luò)的維護工作����,為各個高校網(wǎng)絡(luò)中心降低管理壓力。
|
