应用NetFlow技术分析企业网络异常流量

应用NetFlow技术分析企业网络异常流量 黄 晨 (中国石化股份有限公司安庆分公司信息中心 安庆 246001 ) 摘要：本文从企业网络安全的视角，提出利用网络管理系统的流量管理平台与NetFlow相结合的方法，对企业网出现的异常流量特征进行分析，探讨如何在网络层面对异常流量采取的处理措施，并给出典型企业网异常流量分析得出的蠕虫类病毒安全特征。 关键词：企业网络安全 异常流量 网管系统 流量分析 NetFlow 病毒安全特征 1 前言        近年来，随着互联网在全球的迅速发展和企业网络应用的快速普及，企业网络系统已成为企业生产经营管理的信息承载平台。在日常网络管理中，除了企业网络的正常应用流量，其它形形色色的异常流量也随之而来，影响到企业网的正常运行，威胁用户主机的安全和正常使用。本文通过企业网异常流量的典型案例，利用NetFlow技术和企业级网络管理系统，对企业网异常流量的特征进行了深入分析，进而提出在网络层面对企业网出现的异常流量处理过程，并给出了网络异常流量分析得出的安全特征。 2 NetFlow简介 2.1 NetFlow技术起源 NetFlow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，经过多年的技术演进，NetFlow已成为互联网领域公认的、最主要的IP/MPLS流量分析和计量的行业，广泛用于网络。利用NetFlow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，对异常通信流量检测和参数定性分析奠定了基础。 2.2 IP网络中的数据流（Flow）信息 为对网络中的异常流量进行检测，首先要对网络中不同类型业务的正常通信进行基线分析，包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。为完成不同类型业务的测量工作，需要对网络中传输的各种类型数据包进行区分。通过分析网络中不同Flow间的差别，可以发现判断任何两个IP数据包是否属于同一个Flow，实际上可以通过分析IP数据包的下属7个属性来实现，即数据包的： · 源IP地址 · 目标IP地址 · 源通信端口号 · 目标通信端口号 · 第三层类型 · TOS字节（DSCP） · 网络设备输入（或输出）的逻辑网络端口（ifIndex） 思科公司的Netflow技术就是利用分析IP数据包的上述7个属性，可以快速区分网络中传送的各种不同类型业务的Flow。 2.3 Netflow的处理机制 为进一步提高Netflow技术对网络流量/流向信息进行采集和统计的效率和灵活性，Netflow还引进了多级的处理，如下图所示： 在预处理阶段，Netflow可以首先根据网络管理的需要对特定级别的数据流进行过滤或对高速网络端口进行数据包抽样，这样可以在确保需要的管理信息被采集和统计的同时，减少网络设备的处理负荷，增加全系统的可扩展性。 在后处理阶段，Netflow可以选择把采集到的数据流原始统计信息全部输出，由上层网络管理服务器统一接收后再进行数据的分类处理和汇总；也可以选择由网络设备自身对原始统计信息进行多种形式的数据汇聚，只把汇总后的统计结果发送给上层网络管理服务器。 3 利用Netflow技术进行企业网络安全管理的实现过程 利用Netflow技术，在网络管理实践中，通过对网络异常通信的检测，重点防范Dos、DDoS攻击和大范围的蠕虫病毒发作，处理过程的六个阶段流程如下： · 管理准备阶段： 预先在网络设备上启动Netflow，并把Netflow采集到的网络通信流量和流向数据发送给企业网络管理系统。网管系统通过分析日常Netflow采集到的统计数据，可以事先掌握网络的流量分布状况以及全网通信的正常基线，并以此为依据为日后可能出现的通信异常进行评估。 · 攻击发现和识别阶段： 由于Netflow管理代理是内嵌在网络设备中的，当网络流量突然出现异常时，Netflow可以迅速做出反应。异常通信的流量和流向统计信息可以被实时汇总到企业网络管理系统中。 · 攻击确认和分类阶段： 根据分析出的异常通信的具体属性，以及与网络通信正常基线的比对，企业网络管理者可以快速定性出现的通信异常是否为网络安全攻击、确定安全攻击的类型和评估本次攻击的危险程度及可能造成的影响范围。 · 攻击追踪阶段： 在确定安全攻击的类型和危险级别后，为便于在源头阻塞安全攻击，需要为进一步澄清安全攻击出现的原始来源，以及除主要攻击源外是否还存在其它安全危险来源。 · 处理阶段： 在确认了所有主要安全攻击的来源后，企业网络管理者可根据本次所受攻击的特点采用相应技术手段实施事故应急处理，如为出现攻击的网络端口配置入向或出向的访问控制列表；对特定类型通信流量进行限速等。通过这些技术措施可以对网络安全攻击流量进行阻断，防止其对大范围网络的运行造成影响。同时，在企业网页上对存在问题的计算机终端进行“网络安全公告”，敦促其尽快整改。 · 后续监视阶段： 在安全攻击被阻断后，全网所有设备中的Netflow管理代理还会继续对网络通信流量进行采集和检测，汇总到管理系统的统计数据可以评估是否所有攻击都已经被屏蔽，并持续监视是否还有新的安全攻击的出现。 4 利用网络流量管理平台实现网络异常流量分析 要对企业网异常流量进行分析，首先要深入了解其产生原理及特征，以它产生的数据为依据，对异常流量的种类、流向、产生后果、数据包类型、地址、端口等多个方面进行分析。从异常流量流向来看，常见的异常流量可分为三种情况：网外对本网内的攻击，本网内对网外的攻击，网内攻击。 4.1 异常流量的种类        根据我们所采集的基础数据，对企业网造成重大影响的异常流量主要有以下几种，列举如下： · 拒绝服务攻击（DoS）        10.118.242.72|10.118.236.6|Others|64851|3|2|10000 |10000 |6|1|40|1    由于Internet协议本身的缺陷，IP包中的源地址是可以伪造的，现在的DoS工具很多可以伪装源地址，这也是不易追踪到攻击源主机的主要原因。 · 分布式拒绝服务攻击（DDoS）       10.118.*.67 |10.118.*.100|64821|as9 |2|9|49064|5230|17|6571|9856500|1 这种情况下，就会有产生拒绝服务洪流冲击网络，可能使被攻击目标因过载而崩溃。 · 网络蠕虫病毒流量       10.118.33.190|10.118.34.55|Others|Others|3|0|4755|445|6|1|48|1 这些病毒具有扫描网络，主动传播病毒的能力，大量占用网络带宽或网络系统资源。 ·      其它异常流量        10.118.*.54|10.118.*.95|65211|as3|2|10|1028|137|17|1|78|1 网络扫描类工具产生大量TCP连接请求，很容易使网络设备瘫痪。        异常流量对网络的影响主要体现在两个方面：        占用带宽资源使网络拥塞，造成网络丢包、时延增大，严重时可导致网络不可用；        占用网络设备系统资源（CPU、内存等），使网络不能提供正常的服务。 从某种程度上来讲，企业网异常流量永远不会消失，而且从技术上目前没有根本的解决办法，但利用相关技术手段分析异常流量，减小异常流量发生时带来的影响和损失，以下是处理网络异常流量时可以采用的一些方法。 5.1 判断异常流量的流向        流量监控管理软件是判断异常流量流向的有效工具，通过流量大小变化的监控，可以帮助我们发现异常流量，特别是大流量异常流量的流向，从而进一步查找异常流量的源、目的地址。我们在实践中充分利用网络管理系统中的“流量管理”，较好地判断网络中异常流量的流向。        判断异常流量的流向后，可以选择重点网络设备的端口实施NetFlow配置，采集该端口入流量的NetFlow数据。在网管实践中，我们对企业核心交换机Cisco 6509 NetFlow进行了如下配置：    ip flow-export source Loopback0 ip flow-export version 5 ip flow-export destination 10.118.2.8 9991 interface vlan X ip flow-export ingress 5.3 处理异常流量的方法 · 切断连接    在能够确定异常流量源地址且该源地址设备可控的情况下，切断异常流量源设备的物理连接是最直接的解决办法。我们通常利用Cisco对交换机端口的指定“不安全”的计算机终端“流量”进行Vlan级别的“丢弃（drop）”操作，这样既不会将“不安全”的计算机终端所在的交换机“端口”整体“关闭（disable）”，又不会影响同样在这个交换机“端口”上的其他计算机终端的信息不间断通信。 · 过滤    采用ACL（Access Control List）过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤，如：   access-list 101 deny udp any any eq 1434   access-list 101 permit ip any any · 静态空路由过滤   能确定异常流量目标地址的情况下，可以用静态路由把异常流量的目标地址指向空（Null），这种过滤几乎不消耗路由器系统资源，如下：   ip route 10.118.*.2 255.255.255.255 Null 0 6 常见蠕虫病毒的NetFlow安全特征分析 利用上述方法可以分析曾经在企业网中造成较大影响的多数蠕虫病毒，其分析效果非常明显，以下为分析蠕虫病毒的NetFlow安全特征： · 红色代码 (Code Red Worm) 10.118.226.79|60.191.62.201|65111|as1|6|72|2028|80|80|3|144|1 NetFlow流数据典型特征：目的端口80, 协议类型80，包数量3，字节数144。 · 硬盘杀手（worm.opasoft，W32.Opaserv.Worm）   10.118.242.81|10.118.199.130||64621|Others|6|36|1029|137|17|1|78|1 NetFlow流数据典型特征：目的端口137，协议类型UDP，字节数78。 · 2003蠕虫王 (Worm.NetKiller2003， W32.Slammer，W32.SQLExp.Worm) 10.*.*.124|10.118.17.190|65111|as1|6|34|4444|1434|17|1|404|1   NetFlow流数据典型特征：目的端口1434，协议类型UDP，字节数404 · 冲击波 (WORM.BLASTER，W32.Blaster.Worm)   10.118.242.152|10.118.243.230 |Others|Others|3|0|4052|135|6|1|48|1   NetFlow流数据典型特征：目的端口135，协议类型TCP，字节数48 · 冲击波杀手（Worm.KillMsBlast，W32.Nachi.worm，W32.Welchia.Worm）  10.118.217.141|212.112.238.82 |Others|Others|4|0|0|2048|1|1|92|1 NetFlow流数据典型特征：目的端口2048，协议类型ICMP，字节数92 · 振荡波(Worm.Sasser，W32.Sasser) 10.118.226.238|10.118.7.5 |Others|Others|3|0|3229|445|6|1|48|1 NetFlow流数据典型特征：目的端口445，协议类型TCP，字节数48        从以上案例可以看出，无论是网络攻击还是蠕虫爆发，应用网络管理系统与Neflow相结合的分析方法，可以根据NetFlow特征快速定位网络攻击、网络感染病毒的IP地址，并参考NetFlow数据流的其它特征在网络设备上采取相应的限制、过滤措施，从而达到抑制网络攻击、网络病毒大量传播。 7 总结        处理分析网络异常流量存在许多其它方法，如我们可以利用IDS、协议分析仪、网络设备的Log、Debug、ip accounting等功能查找异常流量来源，但这些方法的应用因各种原因受到限制，如效率低、对网络设备的性能影响、数据不易采集等因素。   充分利用网管系统的流量管理功能与NetFlow分析网络异常流量也存在一些限制条件，如需要网络设备对NetFlow的支持，需要具有分析NetFlow数据的系统网管软件，需要企业网络管理者不断学习、并能够较准确区分正常流量数据和异常流量数据等。但相比其它方法，如能利用好具有NetFlow分析网络异常流量的网络管理系统，因其方便、快捷、高效的特点，为越来越多的企业网络管理者所接受，也将会成为企业网络安全管理的重要手段，特别是在较大企业网络的管理中，更能体现出其独特的优势。 参考文献 [1] 《NetFlow Overview PPT》 Cisco February 2003 [2] 《BrightViewIP-ENMS-V4.5网络流量分析使用》 亿阳信通股份有限公司 2006年12月 [3] 《Netflow为思科内网把脉》 http://www.cisco.com/web/CN [4] 《网络安全与病毒防范（第5版）》 马宜兴 2011-08 PAGE 6