專注福祿克測試儀銷售與技術(shù)

什么是NetFlow？為什么要進行數(shù)據(jù)分析？

發(fā)布日期：2012年03月06日   瀏覽次數(shù)：33次   編輯：深圳連訊

?什么是NetFlow？

??????? 1. NetFlow概念
　　
　???? NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。
　　
　　一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流，且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。
　　
　　2. NetFlow數(shù)據(jù)采集
　　
　　針對路由器送出的NetFlow數(shù)據(jù)，可以利用NetFlow數(shù)據(jù)采集軟件存儲到服務(wù)器上，以便利用各種NetFlow數(shù)據(jù)分析工具進行進一步的處理。
　　
　　Cisco提供了Cisco NetFlow Collector（NFC）采集NetFlow數(shù)據(jù)，其它許多廠家也提供類似的采集軟件。
　　
　　下例為利用NFC2.0采集的網(wǎng)絡(luò)流量數(shù)據(jù)實例：
　　211.*.*.57|202.*.*.12|Others|localas|9|6|2392
　　|80|80|1|40|1
　　出于安全原因考慮，本文中出現(xiàn)的IP地址均經(jīng)過處理。
　　NetFlow數(shù)據(jù)也可以在路由器上直接查看，以下為從Cisco GSR路由器采集的數(shù)據(jù)實例，：
　　gsr #att 2　　　　（登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡）
　　LC-Slot2>sh ip cache flow
　　SrcIf　SrcIPaddress　DstIf　DstIPaddress　Pr SrcP DstP　Pkts
　　Gi2/1　219.*.*.229　PO4/2　217.*.*.228　06 09CB 168D　2
　　Gi2/1　61.*.*.23　Null　63.*.*.246　11　0426 059A　　 1
　　本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的網(wǎng)絡(luò)流量數(shù)據(jù)，針對路由器直接輸出的Neflow數(shù)據(jù)，也可以采用類似方法分析。
　　
　　3. NetFlow數(shù)據(jù)采集格式說明
　　
　　NFC 可以定制多種NetFlow數(shù)據(jù)采集格式，下例為NFC2.0采集的一種流量數(shù)據(jù)實例，本文的分析都基于這種格式。
　　61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
　　135|6|4|192|1
　　數(shù)據(jù)中各字段的含義如下：
　　源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量
　　
　　4. 幾點說明
　　
　　NetFlow主要由Cisco路由器支持，對于其它廠家的網(wǎng)絡(luò)產(chǎn)品也有類似的功能，例如Juniper路由器支持sFlow功能。
　　
　　NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權(quán)都有關(guān)系，不是在所有情況下都能使用，使用時需考慮自己的軟硬件配置情況。
　　
　　本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)。

為什么要進行Flow分析？

要對互聯(lián)網(wǎng)異常流量進行分析，首先要深入了解其產(chǎn)生原理及特征，以下將重點從NetFlow數(shù)據(jù)角度，對異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個方面進行分析。

目前，對互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種：

拒絕服務(wù)攻擊（DoS）

　　DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，影響其它相關(guān)用戶流量的正常通信，最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。 　　例如DoS可以利用TCP協(xié)議的缺陷，通過SYN打開半開的TCP連接，占用系統(tǒng)資源，使合法用戶被排斥而不能建立正常的TCP連接。 　　以下為一個典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實例，該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。 　　117.*.68.45|211.*.*.49|Others|64851|3|2|10000| 　　10000|6|1|40|1 　　104.*.93.81|211.*.*.49|Others|64851|3|2|5557| 　　5928|6|1|40|1 　　58.*.255.108|211.*.*.49|Others|64851|3|2|3330| 　　10000|6|1|40|1 　　由于Internet協(xié)議本身的缺陷，IP包中的源地址是可以偽造的，現(xiàn)在的DoS工具很多可以偽裝源地址，這也是不易追蹤到攻擊源主機的主要原因。

分布式拒絕服務(wù)攻擊（DDoS）

　　DDoS把DoS又發(fā)展了一步，將這種攻擊行為自動化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺計算機上的進程發(fā)起攻擊，在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)因過載而崩潰。 　　以下為一個典型的DDoS攻擊的NetFlow數(shù)據(jù)實例，該案例中多個IP同時向一個IP發(fā)起UDP攻擊。 　　61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230| 　　17|6571|9856500|1 　　211.*.*.163|69.*.*.100|64751|as9|3|9|18423| 　　22731|17|906|1359000|1 　　61.*.*.145|69.*.*.100|64731|Others|2|0|52452| 　　22157|17|3|4500|1

網(wǎng)絡(luò)蠕蟲病毒流量

　　網(wǎng)絡(luò)蠕蟲病毒的傳播也會對網(wǎng)絡(luò)產(chǎn)生影響。近年來，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對用戶主機造成影響，而且對網(wǎng)絡(luò)的正常運行也構(gòu)成了的危害，因為這些病毒具有掃描網(wǎng)絡(luò)，主動傳播病毒的能力，會大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。 　　以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實例，該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求，其效果相當(dāng)于對網(wǎng)絡(luò)發(fā)起DoS攻擊。 　　61.*.*.*|168.*.*.200|Others|Others|3|0|1186| 　　445|6|1|48|1 　　61.*.*.*|32.*.*.207|Others|Others|3|0|10000| 　　445|6|1|48|1 　　61.*.*.*|24.*.*.23|Others|Others|3|0|10000| 　　445|6|1|48|1

其它異常流量

　　我們把其它能夠影響網(wǎng)絡(luò)正常運行的流量都?xì)w為異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請求，很容易使一個性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。 　　以下為一個IP對167.*.210.網(wǎng)段，針對UDP 137端口掃描的NetFlow數(shù)據(jù)實例： 　　211.*.*.54|167.*.210.95|65211|as3|2|10|1028| 　　137|17|1|78|1 　　211.*.*.54|167.*.210.100|65211|as3|2|10| 　　1028|137|17|1|78|1 　　211.*.*.54|167.*.210.103|65211|as3|2|10| 　　1028|137|17|1|78|1?目前，對互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種：

拒絕服務(wù)攻擊（DoS）

　　DoS攻擊使用非正常的數(shù)據(jù)流量攻擊網(wǎng)絡(luò)設(shè)備或其接入的服務(wù)器，致使網(wǎng)絡(luò)設(shè)備或服務(wù)器的性能下降，或占用網(wǎng)絡(luò)帶寬，影響其它相關(guān)用戶流量的正常通信，最終可能導(dǎo)致網(wǎng)絡(luò)服務(wù)的不可用。

　　例如DoS可以利用TCP協(xié)議的缺陷，通過SYN打開半開的TCP連接，占用系統(tǒng)資源，使合法用戶被排斥而不能建立正常的TCP連接。

　　以下為一個典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實例，該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。

　　117.*.68.45|211.*.*.49|Others|64851|3|2|10000|

　　10000|6|1|40|1

　　104.*.93.81|211.*.*.49|Others|64851|3|2|5557|

　　5928|6|1|40|1

　　58.*.255.108|211.*.*.49|Others|64851|3|2|3330|

　　10000|6|1|40|1

　　由于Internet協(xié)議本身的缺陷，IP包中的源地址是可以偽造的，現(xiàn)在的DoS工具很多可以偽裝源地址，這也是不易追蹤到攻擊源主機的主要原因。

分布式拒絕服務(wù)攻擊（DDoS）

　　DDoS把DoS又發(fā)展了一步，將這種攻擊行為自動化，分布式拒絕服務(wù)攻擊可以協(xié)調(diào)多臺計算機上的進程發(fā)起攻擊，在這種情況下，就會有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，可能使被攻擊目標(biāo)因過載而崩潰。

　　以下為一個典型的DDoS攻擊的NetFlow數(shù)據(jù)實例，該案例中多個IP同時向一個IP發(fā)起UDP攻擊。

　　61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|

　　17|6571|9856500|1

　　211.*.*.163|69.*.*.100|64751|as9|3|9|18423|

　　22731|17|906|1359000|1

　　61.*.*.145|69.*.*.100|64731|Others|2|0|52452|

　　22157|17|3|4500|1

網(wǎng)絡(luò)蠕蟲病毒流量

　　網(wǎng)絡(luò)蠕蟲病毒的傳播也會對網(wǎng)絡(luò)產(chǎn)生影響。近年來，Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā)，不但對用戶主機造成影響，而且對網(wǎng)絡(luò)的正常運行也構(gòu)成了的危害，因為這些病毒具有掃描網(wǎng)絡(luò)，主動傳播病毒的能力，會大量占用網(wǎng)絡(luò)帶寬或網(wǎng)絡(luò)設(shè)備系統(tǒng)資源。

　　以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實例，該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求，其效果相當(dāng)于對網(wǎng)絡(luò)發(fā)起DoS攻擊。

　　61.*.*.*|168.*.*.200|Others|Others|3|0|1186|

　　445|6|1|48|1

　　61.*.*.*|32.*.*.207|Others|Others|3|0|10000|

　　445|6|1|48|1

　　61.*.*.*|24.*.*.23|Others|Others|3|0|10000|

　　445|6|1|48|1

其它異常流量

　　我們把其它能夠影響網(wǎng)絡(luò)正常運行的流量都?xì)w為異常流量的范疇，例如一些網(wǎng)絡(luò)掃描工具產(chǎn)生的大量TCP連接請求，很容易使一個性能不高的網(wǎng)絡(luò)設(shè)備癱瘓。

　　以下為一個IP對167.*.210.網(wǎng)段，針對UDP 137端口掃描的NetFlow數(shù)據(jù)實例：

　　211.*.*.54|167.*.210.95|65211|as3|2|10|1028|

　　137|17|1|78|1

　　211.*.*.54|167.*.210.100|65211|as3|2|10|

　　1028|137|17|1|78|1

　　211.*.*.54|167.*.210.103|65211|as3|2|10|

　　1028|137|17|1|78|1

為什么要用NetFlow進行分析？?

??????? ?處理分析網(wǎng)絡(luò)異常流量存在許多其它方法，如我們可以利用IDS、協(xié)議分析儀、網(wǎng)絡(luò)設(shè)備的Log、Debug、ip accounting等功能查找異常流量來源，但這些方法的應(yīng)用因各種原因受到限制，如效率低、對網(wǎng)絡(luò)設(shè)備的性能影響、數(shù)據(jù)不易采集等因素。

?　　利用NetFlow分析網(wǎng)絡(luò)異常流量也存在一些限制條件，如需要網(wǎng)絡(luò)設(shè)備對NetFlow的支持，需要分析NetFlow數(shù)據(jù)的工具軟件，需要網(wǎng)絡(luò)管理員準(zhǔn)確區(qū)分正常流量數(shù)據(jù)和異常流量數(shù)據(jù)等。

?　　但相比其它方法，利用NetFlow分析網(wǎng)絡(luò)異常流量因其方便、快捷、高效的特點，為越來越多的網(wǎng)絡(luò)管理員所接受，成為互聯(lián)網(wǎng)安全管理的重要手段，特別是在較大網(wǎng)絡(luò)的管理中，更能體現(xiàn)出其獨特優(yōu)勢。

本文關(guān)鍵字: Netflow
原創(chuàng)標(biāo)題：什么是NetFlow？為什么要進行數(shù)據(jù)分析？
原文鏈接：http://m.qqmmqq.cn/archives/netflow.html
版權(quán)說明：本文為深圳市連訊達(dá)電子技術(shù)開發(fā)有限公司官網(wǎng)（m.qqmmqq.cn）版權(quán)所有。如果您需要轉(zhuǎn)載，請注明出處并保留原文鏈接！如為轉(zhuǎn)載文章會注明文章出處，轉(zhuǎn)載文章不代表本公司觀點。對于某些同行無恥惡意抄襲剽竊連訊客戶案例的違法行為，連訊將追究法律責(zé)任！
詳情請致電連訊公司：0755-83999818