联网异常流量的 Netflow 分析 ( 铮) 铮(中国联通数据与固定通信业务部)摘 要 本文从互联网运营商的视角,利用 Netflow 分析手段,对互联网异常流量的特征进行了深化分析,进而提出如何在网络层面对互联网异常流量实行防护措施,并给出了近年来一些典型互联网异常流量的 Netflow 分析案例。关键词 互联网 异常流量 Netflow 流量分析DoS/DDoS 蠕虫病毒一、前言 近年来,随着互联网在全球的迅速进展和各种互联网应用的快速普与,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。 本文从互联网运营商的视角,对互联网异常流量的特征进行了深化分析,进而提出如何在网络层面对互联网异常流量实行防护措施,其中重点讲述了Netflow 分析在互联网异常流量防护中的应用与典型案例。二、Netflow 简介 本文对互联网异常流量的特征分析主要基于 Netflow 数据,因此首先对Netflow 做简单介绍。 1. Netflow 概念 NetFlow 是一种数据交换方式,其工作原理是:NetFlow 利用标准的交换模式处理数据流的第一个 IP 包数据,生成 NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略 ,NetFlow 缓存同时包含了随后数据流的统计信息。 一个 NetFlow 流定义为在一个源 IP 地址和目的 IP 地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 2. Netflow 数据采集 针对路由器送出的 Netflow 数据,可以利用 Netflow 数据采集软件存储到服务器上,以便利用各种 Netflow 数据分析工具进行进一步的处理。 Cisco 提供了 Cisco Netflow Collector(NFC)采集 Netflow 数据,其它许多厂家也提供类似的采集软件。 下例为利用 NFC2.0 采集的网络流量数据实例: 211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1 出于安全原因考虑,本文中出现的 IP 地址均经过处理。 Netflow 数据也可以在路由器上直接查看,以下为从 Cisco GSR 路由器采集的数据实例,: gsr #att 2 (登录采集 Netflow 数据的 GSR 2 槽板卡) LC-Slot2>sh ip cache flow SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 1...