当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 使用NetFlow分析网络异常流量(5)

安全防护
2003服务器防止海洋木马的安全设置(1)
2003服务器防止海洋木马的安全设置(2)
2003服务器防止海洋木马的安全设置(3)
加固脆弱的IIS服务
linux操作系统的优化及安全配置(1)
linux操作系统的优化及安全配置(2)
linux操作系统的优化及安全配置(3)
Server2003 DNS服务安装篇(2)
Server2003 DNS服务安装篇(3)
Server2003 DNS服务安装篇(4)
WindowsServer2003安全事件ID分析(1)
WindowsServer2003安全事件ID分析(2)
打造安全的Windows 2003系统(5)
Win2003 Server手动设置全攻略(1)
Win2003 Server手动设置全攻略(2)
Win2003 Server手动设置全攻略(3)
Win2003 Server手动设置全攻略(4)
搜索型注入之我看
为Windows 2003安全—层层设防(1)
为Windows 2003安全—层层设防(2)

安全防护 中的 使用NetFlow分析网络异常流量(5)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 36 ::
收藏到网摘: n/a

  四、利用NetFlow工具处理防范网络异常流量

    从某种程度上来讲,互联网异常流量永远不会消失而且从技术上目前没有根本的解决办法,但对网管人员来说,可以利用许多技术手段分析异常流量,减小异常流量发生时带来的影响和损失,以下是处理网络异常流量时可以采用的一些方法及工具:

    1. 判断异常流量流向

    因为目前多数网络设备只提供物理端口入流量的NetFlow数据,所以采集异常流量NetFlow数据之前,首先要判断异常流量的流向,进而选择合适的物理端口去采集数据。

    流量监控管理软件是判断异常流量流向的有效工具,通过流量大小变化的监控,可以帮助我们发现异常流量,特别是大流量异常流量的流向,从而进一步查找异常流量的源、目的地址。

    目前最常用的流量监控工具是免费软件MRTG,下图为利用MRTG监测到的网络异常流量实例,可以看出被监测设备端口在当天4:00至9:30之间产生了几十Mbps的异常流量,造成了该端口的拥塞(峰值流量被拉平)。

    如果能够将流量监测部署到全网,这样在类似异常流量发生时,就能迅速找到异常流量的源或目标接入设备端口,便于快速定位异常流量流向。

    有些异常流量发生时并不体现为大流量的产生,这种情况下,我们也可以综合异常流量发生时的其它现象判断其流向,如设备端口的包转发速率、网络时延、丢包率、网络设备的CPU利用率变化等因素。

    2. 采集分析NetFlow数据

    判断异常流量的流向后,就可以选择合适的网络设备端口,实施Neflow配置,采集该端口入流量的NetFlow数据。

    以下是在Cisco GSR路由器GigabitEthernet10/0端口上打开NetFlow的配置实例:
    ip flow-export source Loopback0
    ip flow-export destination *.*.*.61 9995
    ip flow-sampling-mode packet-interval 100
    interface GigabitEthernet10/0
    ip route-cache flow sampled
    通过该配置把流入到GigabitEthernet10/0的NetFlow数据送到NetFlow采集器*.*.*.61,该实例中采用sampled模式,采样间隔为100:1。

    3. 处理异常流量的方法

    (1)切断连接
    在能够确定异常流量源地址且该源地址设备可控的情况下,切断异常流量源设备的物理连接是最直接的解决办法。

    (2)过滤
    采用ACL(Access Control List)过滤能够灵活实现针对源目的IP地址、协议类型、端口号等各种形式的过滤,但同时也存在消耗网络设备系统资源的副作用,下例为利用ACL过滤UDP 1434端口的实例:
    access-list 101 deny   udp any any eq 1434
    access-list 101 permit ip any any
    此过滤针对蠕虫王病毒(SQL Slammer),但同时也过滤了针对SQL Server的正常访问,如果要保证对SQL Server的正常访问,还可以根据病毒流数据包的大小特征实施更细化的过滤策略(本文略)。

    (3)静态空路由过滤
    能确定异常流量目标地址的情况下,可以用静态路由把异常流量的目标地址指向空(Null),这种过滤几乎不消耗路由器系统资源,但同时也过滤了对目标地址的正常访问,配置实例如下:
    ip route 205.*.*.2 255.255.255.255 Null 0
    对于多路由器的网络,还需增加相关动态路由配置,保证过滤在全网生效。

    (4)异常流量限定
    利用路由器CAR功能,可以将异常流量限定在一定的范围,这种过滤也存在消耗路由器系统资源的副作用,以下为利用CAR限制UDP 1434端口流量的配置实例:
    Router# (config) access-list 150 deny udp any any eq 1434
    Router# (config) access-list 150 permit ip any any
    Router# (config) interface fastEthernet 0/0
    Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
    conform-action drop exceed-action drop
    此配置限定UDP 1434端口的流量为8Kbps。