隨著(zhù)各種網(wǎng)絡(luò )應用迅速增加���,由此帶來(lái)了網(wǎng)絡(luò )流量的激增���。在這些流量中���,網(wǎng)絡(luò )用戶(hù)的上網(wǎng)行為如何管理?各種類(lèi)型的流量如何分布?在這種情況下�,可以使用NetFlow這一有效工具以滿(mǎn)足對網(wǎng)絡(luò )流量管理的需求�����。
NetFlow最初是由Cisco開(kāi)發(fā)的�����,由于使用廣泛����,目前很多廠(chǎng)家都可以實(shí)現����,如:Juniper����、Extreme����、Foundry����、H*
C等����。Cisco的NetFlow也有多種版本����,如V*
�、V7���、V*
��、V9��。目前NetFlow V*
是主流�。因此本文主要針對NetFlow V*
�,該版本數據包中的基本元素包含哪些內容呢?首先從Flow講起��,一個(gè)IP數據包的Flow至少定義了下面7個(gè)關(guān)鍵元素:
? 源IP地址;
? 目的IP地址;
? 源端口號;
? 目的端口號;
? 第三層協(xié)議的類(lèi)型;
? TOS字段;
? 網(wǎng)絡(luò )設備輸入/輸出的邏輯端口(if index)
以上7個(gè)字段定義了一個(gè)基本的Flow信息����。 Netflow就是利用分析IP數據包的上述7種屬性�����,快速區分網(wǎng)絡(luò )中傳送的各種類(lèi)型的業(yè)務(wù)數據流�����。
1. Cache管理
在NetFlow中有兩個(gè)關(guān)鍵組件:
(1) NetFlow Cache���,主要描述流緩存(或者說(shuō)源數據)如何存放在Cache中���。
NetFlow緩存管理機制中包含一系列高度精細化算法�,能夠有效地判斷一個(gè)報文是屬于已存在Flow的一部分還是應該在緩存中產(chǎn)生一條新的Flow�。這些算法也能動(dòng)態(tài)更新緩存中Flow的信息���,并且判斷哪些Flow應該到期終止�����。
(2) NetFlow Export�����,數據流的輸出機制��,主要描述了數據流是如何輸出并被分析器接收的��。
首先了解NetFlow Cache(緩存機制)�。當緩存中的Flow到期后�,就產(chǎn)生一個(gè)將Flow輸出的動(dòng)作��。將超時(shí)的Flow信息以數據報文的方式輸出���,叫做“NetFlow Export”����,這些輸出的報文包含*
0條以上的Flow信息�。這些NetFlow信息一般是無(wú)法識別的����,需由專(zhuān)用收集器(Flow Collector)采集到并做出進(jìn)一步分析�����,這些Flow Collector能夠識別NetFlow的特殊格式�。
2.輸出格式
NetFlow的輸出報文包含報頭和一系列的Flow流�,報頭包含系列號�、記錄數�、系統時(shí)間等�,Flow流包含具體內容���,如IP地址����、端口��、路由信息等�。各個(gè)版本的NetFlow格式都相同��,且NetFlow采用UDP報文���,這更有利于大流量情況下的數據報文傳輸�����。換句話(huà)說(shuō)�,在路由器��,防火墻等網(wǎng)絡(luò )設備中如要使用NetFlow就不能禁用UDP端口�,否則無(wú)法接收設備傳遞的信息�����。
*
.抽樣機制
在Netflow的實(shí)際應用中��,它不是時(shí)刻都把數據包抓取過(guò)來(lái)�,而是采用抽樣的機制�����,通過(guò)使用抽樣技術(shù)可以降低路由器的CPU利用率�����,減少Flow的輸出量����,但仍然可以監測到大多數的流量信息�。當我們不需要了解網(wǎng)絡(luò )流量的每個(gè)Flow的具體細節的時(shí)候���,抽樣就成了比較好的選擇�����。但流量計費系統采用NetFlow會(huì )造成誤差�,使得NetFlow輸出有時(shí)不能準確反映流量的實(shí)際情況�����。這時(shí)如果你的流量計費系統選用Netflow就不太合適了�����。
*
.性能影響
使用任何一種技術(shù)作為工程師最應該關(guān)注它的性能問(wèn)題���。由于在設備緩存中Flow的生成��,需要消耗系統資源同樣�,將Flow格式化成特定的輸出報文并將報文輸出�����,也是要消耗系統資源���,因此在設備上使用NetFlow時(shí)���,肯定就會(huì )影響設備性能��。由于高端Cisco設備(如*
*
00���、7*
00系列等)都是通過(guò)ASIC硬件處理數據包�����,所以占用10%~20%利用率均屬正常�。注意�����,在使用中CPU的利用率會(huì )隨著(zhù)緩存中Flow條目的增大而增加�����,所以在高負載情況下�����,一定要慎用Netflow功能�。
*
.在蠕蟲(chóng)病毒監測中的舉例
前些年Code Red�����、SQL Slammer��、沖擊波�、振蕩波等蠕蟲(chóng)病毒的相繼爆發(fā)���,不但對用戶(hù)主機造成影響���,而且對網(wǎng)絡(luò )的正常運行也構成了的危害�����,因為這些病毒具有掃描網(wǎng)絡(luò )�����,主動(dòng)傳播病毒的能力���,會(huì )大量占用網(wǎng)絡(luò )帶寬或網(wǎng)絡(luò )設備系統資源��。這些蠕蟲(chóng)在網(wǎng)絡(luò )行為上都有某些共同特征���,我們可以利用NetFlow的信息篩選出這些數據包�,從而快速發(fā)現問(wèn)題���。
例1:CodeRed的Flow特征是destination port=*
0,����、packets=*
����、size=1*
*
bytes�。雖然在Internet上���,符合上述特性的正常行為是存在的(如使用ICQ)��,但是一般正常使用的主機不會(huì )在連續幾段時(shí)間內發(fā)出大量的這些報文�����。
因此監測CodeRed 可采用的方法是:取幾個(gè)不同時(shí)間段����,例如每段時(shí)間*
分鐘�����,如果每個(gè)時(shí)間段內符合特征的Flow大于上限值�,則可以判斷為Code Red��。
例2:感染了Nimda病毒的主機會(huì )向外部地址(往往是TCP *
0端口)發(fā)起大量連接�,Nimda的Flow特征是每個(gè)Flow代表一次連接destination port=*
0的行為�����,如果普通的客戶(hù)機在一段時(shí)間內(例如*
分鐘)Flow數量過(guò)大��,那么很有可能遭受病毒感染或者有其他針對HTTP的攻擊行為����。
因此監測Nimda可采用的策略是:取幾個(gè)不同時(shí)間段�,每段時(shí)間*
分鐘�����,如果每個(gè)時(shí)間段內符合特征的Flow超過(guò)上限值��,則可以判斷為Nimda病毒或其他攻擊行為�����。另外���,如果Apache Http Server感染了Slapper Worm的話(huà)�,也會(huì )產(chǎn)生大量的Http報文��。
例*
:震蕩波(Worm.Sasser)的特征是一個(gè)IP同時(shí)向隨機生成的多個(gè)IP發(fā)起*
*
*
端口的TCP連接���。因此檢測條件是:相同源IP�����,大量不同目的IP����,目的端口為*
*
*
�����,當符合的Flow達到上限值時(shí)�����,則可以認定是振蕩波病毒��。
例*
:幾年前臭名昭著(zhù)的微軟SQL-Server漏洞造成了很大的影響�����,它的特征是目的端口為1*
*
*
的TCP流�����。表1*
-2是根據此條件篩選出的NetFlow統計數據�,可以得知IP地址*
*
.190.1*
*
.1*
*
正在對某網(wǎng)段進(jìn)行SQL漏洞掃描�。
表1 篩選的NetFlow數據
例*
:用NetFlow分析DOS攻擊流量
DOS攻擊使用非正常的數據流量攻擊網(wǎng)絡(luò )設備或其接入的服務(wù)器�,致使網(wǎng)絡(luò )設備或服務(wù)器的性能下降�����,或占用網(wǎng)絡(luò )帶寬�,影響其他相關(guān)用戶(hù)流量的正常通信�����,最終可能導致網(wǎng)絡(luò )服務(wù)不可用�����。例如DOS可以利用TCP協(xié)議的缺陷�����,通過(guò)SYN打開(kāi)半開(kāi)的TCP連接�����,占用系統資源��,使合法用戶(hù)被排斥而不能建立正常的TCP連接�����。以下為一個(gè)典型的DoS SYN攻擊的NetFlow數據實(shí)例�����,該案例中多個(gè)偽造的源IP同時(shí)向一個(gè)目的IP發(fā)起TCP SYN攻擊�����。
111.*.*
*
.*
*
|202.*.*.*
0|Others|*
*
*
*
1|*
|2|10000|10000|*
|1|*
0|1
10*
.*.9*
.91|202.*.*.*
0|Others|*
*
*
*
1|*
|2|*
*
*
7|*
92*
|*
|1|*
0|1
1*
*
.*.2*
.20*
|202.*.*.*
0|Others|*
*
*
*
1|*
|2|*
*
*
0|10000|*
|1|*
0|1
日常工作中發(fā)現���,除了遇到DOS 以外還有許多攻擊屬于DDOS攻擊�����,只不過(guò)攻擊類(lèi)別不同�,有些為Ping Death�,另一些則為SYN Flooding����。
DDOS攻擊基本上都造成這樣一種結果:服務(wù)器無(wú)法處理源源不斷如潮水般涌來(lái)的請求��,從而造成響應遲緩����,直至系統資源耗盡而宕機�。DDOS攻擊的共同點(diǎn)是來(lái)源廣泛�����,針對一臺主機��,大量數據包�。
因此檢測ICMP攻擊就可以根據下面的條件:在連續的幾個(gè)時(shí)間段�����,假設每個(gè)時(shí)間段為*
分鐘���,各個(gè)時(shí)間段內ICMP報文大于*
000����。符合這個(gè)條件的����,可以認為受到了ICMP攻擊�����。
下面是ICMP流的NetFlow實(shí)例���。
另外�����,還有一種DDOS攻擊是SYN flooding�����,它的特征是TCP報頭中的SYN被置位��,且有大量的SYN特征數據包���。NetFlow輸出格式中提供了Flag位���,為我們判斷SYN攻擊創(chuàng )造了條件�。
因此檢測SYN flooding的條件是:在連續的幾個(gè)時(shí)間段�,假設每個(gè)時(shí)間段為*
分鐘����,產(chǎn)生大量flag=2的數據包���,正常連接不會(huì )產(chǎn)生這么多flag=2的數據包����,所以可以設置閾值為*
000����。超過(guò)這個(gè)數值就認為服務(wù)器受到SYN flooding攻擊��。如果主機發(fā)出flag=2的數據包數量超過(guò)1000���,則可以認為主機在發(fā)起攻擊���。以下是SYN特征的NetFlow實(shí)例�。
各種DDOS攻擊的特征都是在短時(shí)間內產(chǎn)生大量的數據包��,因此�,即使不知道攻擊報文的特征��,也可以在NetFlow的輸出結果中進(jìn)行相應的查找����,找到符合條件的異常Flow���。這就為及時(shí)發(fā)現和防范網(wǎng)絡(luò )上的不安全因素提供了有效的手段�。
案例*
:NetFlow在網(wǎng)絡(luò )取證方面的應用
假設圖1中的ADSL撥號用戶(hù)從Internet上某FTP服務(wù)器上下載了可疑文件��,在客戶(hù)端PC上留有下載日期時(shí)間戳信息����,在局端的接入服務(wù)器上也可以看到特定IP地址在相應時(shí)間內被分配給客戶(hù)端PC���,通過(guò)在ISP方面的ANI(Automatic Number Identification)日志就能將客戶(hù)端的所在家庭電話(huà)號碼與上網(wǎng)撥號信息聯(lián)系到一起���,與此同時(shí)�����,在ISP的路由器上記錄(一般會(huì )保留*
0天左右)著(zhù)FTP下載/上傳網(wǎng)絡(luò )流量(NetFlow)日志��,這個(gè)流量至關(guān)重要�。最后在Ftp服務(wù)器上還有完整的下載記錄�����。
圖 1 分析下載可疑文件
由上圖可以看出����,從客戶(hù)端發(fā)起連接到FTP服務(wù)器下載分為四個(gè)階段��,分別是客戶(hù)端發(fā)送/接受�、接入服務(wù)器驗證�����、路由器轉發(fā)及FTP服務(wù)器接受下載�����,每個(gè)階段都有日志記錄信息包含用戶(hù)賬號���、登錄時(shí)間�、IP��、端口�����、發(fā)送數據包大小及日期及時(shí)間戳等����。這些日志信息分別存放在不同的設備上��,即便是某些日志遭到了一定程度破壞(例如篡改IP�����,丟失了某些日志等)也不會(huì )影響全局�,所以這些相關(guān)信息�����,在調查人員進(jìn)行計算機網(wǎng)絡(luò )取證時(shí)就顯得尤為重要��,希望引起管理人員重視����。
在某些情況下���,設備不支持Netflow���,怎么對流量進(jìn)行檢測呢?對于這樣的環(huán)境也有相應的解決方法��,那就是使用Fprobe�����。利用Fprobe來(lái)生成Netflow報文��,其默認格式為V*
版本�。最初Fprobe是一款在BSD環(huán)境下運行的軟件����,目前在UNIX/Linux平臺上均可運行����。它可以將NIC接口收到的數據轉化為Netflow數據��,并發(fā)送至Netflow分析端�����。我們可以通過(guò)部署這樣一臺Ossim服務(wù)器�����,將網(wǎng)絡(luò )流量鏡像至Ossim服務(wù)器�����,實(shí)現網(wǎng)絡(luò )流量分析��。Ossim服務(wù)器中的Netflow分析器��,由下列三個(gè)工具組成:
? Fprobe: 從遠程主機發(fā)送數據流;
? NfSen: NetFlow的分析圖形前端;
? Nfdump: NetFlow采集模塊;
有關(guān)Ossim結構大家可以先參看本書(shū)第1*
章��,這里介紹Netflow分析數據包的過(guò)程��。首先��,在網(wǎng)絡(luò )接口接收網(wǎng)絡(luò )數據�����,然后由Fprobe程序將收集的數據按照一定規則和格式進(jìn)行轉換(Netflow格式)����,再發(fā)到系統的*
*
*
端口(查看/etc/default/fprobe能得知詳情)�����,再由Nfsen系統中的Nfdump程序將轉換后的數據統一存放在/var/cache/nfdump/flows/目錄下�,最后由Web前端程序Nfsen來(lái)讀取��,數據通過(guò)*
*
*
端口接收�����,同時(shí)結果會(huì )顯示在前臺Web界面上(在Ossim系統中路徑為Situational Awareness→Network→Traffic����,顯示效果在Ossim右側導航欄里可以查看)��,分析Netflow過(guò)程如圖2所示����。
圖 2 Ossim系統分析Netflow數據
在Ossim*
.1系統中查詢(xún) Netflow流量如圖1*
-*
所示���。
圖 *
Netflow流量源端口Top 10
在Ossim *
.1系統中由Netflow收集的數據放置在/var/cache/nfdump/flows/live/ossim/目錄下����,并存儲為二進(jìn)制文件格式��,以天為單位分別設置目錄��,方便查看����。這些數據按照一定的時(shí)間組織起來(lái)����,每*
分鐘采集一次數據�����,同時(shí)由nfcapd產(chǎn)生新的文件��,并用當前時(shí)間來(lái)命名�,例如nfcapd.201*
0*
*
1120*
*
包含的數據是從201*
年*
月*
1日12小時(shí)*
*
分鐘開(kāi)始的數據����。
圖 *
nfcapd產(chǎn)生的數據
從系統捕獲數據包的過(guò)程來(lái)看Nfdump這一過(guò)程至關(guān)重要�����,它由nfcpad���、fddump�����、nfprofile和nfreplay這*
個(gè)進(jìn)程組成����,功能見(jiàn)表2所示�����。
表2 nfdump工具組成
*
.分布式環(huán)境數據流處理
本節內容是對上述知識點(diǎn)的總結����,下面這個(gè)實(shí)驗在一個(gè)模擬的分布式環(huán)境中完成�����,其中有一臺混合安裝的Ossim USM�,兩臺Sensor�,三臺接入層交換機和一臺核心交換機以及若干PC組成���,為簡(jiǎn)化實(shí)驗這些設備均在同一個(gè)VLAN中��,實(shí)際生產(chǎn)中應在多個(gè)VLAN����。拓撲如圖*
所示����。
圖*
Ossim分布式部署
第2章講解了如何添加Sensor�,并與Server進(jìn)行連接���,下面接著(zhù)啟用Netflow服務(wù)��,交換機上Netflow也必須同時(shí)設置正確�,注意nfcapd進(jìn)程在12000和120001端口進(jìn)行監聽(tīng)����。各主機IP�、UUID及端口如表*
所示�����。
表*
Ossim服務(wù)器傳感器配置
前面已經(jīng)講過(guò)查看UUID的方法下面依次在終端下輸入如下命令:
所有數據存儲在Ossim Server端�,所以我們到Server命令行下輸入以下命令進(jìn)行驗證:
為了確保在SensorA����、SensorB和Sensor上都能展現其N(xiāo)etflow數據要確保nfsen都收到數據�,我們在Ossim Server的終端控制臺下�,操作以下命令
接著(zhù)觀(guān)察目錄的內容��,我們進(jìn)入目錄*
*
*
db*
*
0*
29*
cb*
*
ae*
a*
1*
1c00f*
2*
*
�����,在該目錄下有若干Pcap格式的文件���,每隔*
分鐘生成一個(gè)���,每個(gè)文件大小在*
00KB~1000KB(大小并不固定)�,每天會(huì )產(chǎn)生100~200MB的抓包文件����。
如果在實(shí)驗中發(fā)現沒(méi)有收到Sensor數據包�,首先檢查設置是否正確��,接下來(lái)用tcpdump來(lái)抓包分析���,具體抓包操作如下圖所示���。
或tcpdump -i eth0 ‘port 12001’ ���。
通過(guò)nfdump可以實(shí)現Netflow記錄的過(guò)濾��、Top統計和排序等功能��,在Ossim通過(guò)Web UI能輕松的展現給用戶(hù)�,如圖*
所示��。
圖*
Netflow多傳感器顯示
作為系統維護人員需要了解后臺執行的命令��,例如我們進(jìn)入201*
-0*
-01目錄���,對其數據包按端口排序輸入命令nfdump –r nfcapd.201*
0*
010*
1*
–s dstport –n 10
又如
7.交換機上配置
下面歸納一下實(shí)施流量監控的步驟(以Cisco *
000系列交換機為例):
1) 在Cisco *
*
09上配置NetFlow(或其他網(wǎng)絡(luò )設備)���,并輸出到指定到Ossim采集器(IP)的固定UDP端口���。
2) 采集器軟件為Ossim系統的Flow-tool工具�,該軟件監聽(tīng)UDP端口�����,接收進(jìn)入的NetFlow數據包并存儲為特定格式��。
*
) 使用Nfsen等軟件包中的工具對NetFlow源文件進(jìn)行讀取����,轉換成可讀的ASICII格式�,再用Ossim內的Perl程序對NetFlow進(jìn)行分析和規范格式的操作���,并將讀取的NetFlow信息存儲入Ossim數據庫中���。
*
) 依據蠕蟲(chóng)和DDOS攻擊等異常報文的流量特征�����,在分析程序中預設各種觸發(fā)條件�����,定時(shí)運行���,從中發(fā)現滿(mǎn)足這些條件的Flow��。
*
) 將分析結果在Web客戶(hù)端中展示��,或者通過(guò)E-mail�、短信等接口發(fā)送�����。也可以通過(guò)與設備聯(lián)動(dòng)的方式�����,采用ACL對設備進(jìn)行自動(dòng)配置����,等攻擊流消退后再自動(dòng)取消ACL����。
除了OSSIM之外����,還有些商業(yè)軟件都提供了很好的分析工具�,例如Solarwinds NetFlow Traffic Analysis 和Manage Engine NetFlow Analyzer這兩款軟件如圖7所示��,它們都是不錯的選擇��。
圖7 Manage Engine NetFlow Analyzer
【編輯推薦】
【責任編輯:藍雨淚TEL:(010)*
*
*
7*
*
0*
】
點(diǎn)贊 0
