首頁 關於台訊 資訊物語 專業服務 產品 人才招募 企業團
Quicky Link :
>> 公司新聞
>> 發燒快遞
>> 聯絡我們
>> English

 
資訊物語>> 系統網路
NetFlow網路分析應用〈一〉

作者:林文偉

 

由於 NetFlow 只有單純分析封包的標頭,因此透過 NetFlow 所得到的資訊來監控網路異常的行為,所以 NetFlow 的紀錄只包含了流量的相關資訊而沒有網路階層架構中較高層的資訊,但是 NetFlow 仍然能夠提供足夠的資訊來協助網路管理者掌握所管轄網路中異常的網路行為,而且由於 NetFlow 並未對封包內容進行分析,減輕網路設備運算處理的負擔,所以 NetFlow 的效率會比傳統的方式更好,這樣讓 NetFlow 很適合來分析高速、忙碌的網路環境。

 

從網路層的角度進行分析

一般來說,網路攻擊行為會存在著某些可供辨識的特徵,例如針對某個特定埠或利用某些特定網路的 IP 位址,我們可以透過這些特徵來與所獲得的 NetFlow 資料進行比對,進而找出可能的異常行為。我們可以透過分析 NetFlow 資料中目的主機所使用埠號欄位,例如 SQL Slammer 就是利用 1234 port 進行感染,而 W32.Sasser 則是利用 445port。我們可以利用目的主機所使用埠號這個欄位等於某個特定埠號,來過濾 NetFlow資料找出相對應的攻擊。另外我們也可以利用不合邏輯的來源或目的 IP 位址來找出異常,例如從我們所管轄網路對外流出的流量中如果來源 IP 位址不是我們所管轄網路的 IP位址;或是從外部網路流進我們所管轄網路的流量中,如果來源 IP 位址是我們所管轄網路的IP 位址。

 

此外網際網路位址指派機構 (Internet Assigned Numbers Authority , IANA)將下列三段 IP 位址保留給私有網路使用 10.0.0.0 ~ 10.255.255.255172.16.0.0 ~172.31.255.255 192.168.0.0 ~ 192.168.255.255,這幾段網路的位址不能出現在外部網路環境中,但由於當初網路設計的缺陷,路由器對於所接收封包的來源位址欄位並不會進行驗證,所以攻擊者可利用這個缺陷偽造來源 IP 位址 (IP Spoofing )來發動攻擊。為避免被追蹤到攻擊來源,所以我們可以比對我們所接受到 NetFlow 資料中來源主機所使用的 IP 位址(Source IP Address)欄位,找出偽造來源位址的流量,再利用 NetFlow資料中資訊流流入介面編號(Input IFindex)欄位的資訊,找出連接這個介面的上游路由器,請他們協助調查或是處理。

 

某些異常行為可能會連到某個或某些特定位址,而像在 2001 年造成嚴重網路擁塞的Code Red 蠕蟲,我們分析所收集到的 NetFlow 資料便可發現,此蠕蟲的攻擊行為有一個特性,每筆 Flow destination TCP/UDP port 欄位值會等於 80Packet Count 欄位值等於 3Byte Count 欄位值等於 144bytes,網路管理者可以撰寫程式分析所蒐集的NetFlow 資料,找出具此特徵的 Flow 資料,便可找出管轄網路內有可能感染 Code Red蠕蟲的主機,來進行下線或封鎖以降低蠕蟲造成的危害。利用已收集到攻擊的特徵與NetFlow 資訊中的相關欄位進行比對找出可能的攻擊,可以在攻擊造成網路嚴重傷害之前,做適當的反應措施來降低形成嚴重問題的可能性。

從傳輸層的角度進行分析

我們可以透過 NetFlow 資料找出網路中建立 session 數目最多的主機,因為如果一台主機對特定主機產生不正常的大量連結需求,這可能代表著新的蠕蟲、阻斷服務攻擊、網路掃瞄等的可能性,因為一個正常的主機對外連結會有一定正常的頻率,如果正常的主機感染了蠕蟲,就可能會開始產生異常的網路行為,開始產生對外大量的連結需求來找尋下一個感染的對象,因此我們可以從感染蠕蟲的主機的 NetFlow 資訊中發現到大量的對外連結需求,例如 SQL slammer 我們就可以從感染的主機上發現大量對外 1434 port 的連結需求。同樣的原理,如果所管轄網路中的使用者從網路上下載阻斷服務攻擊之工具程式企圖對外發動攻擊時,或是使用者利用 Nmap 之類的掃瞄工具掃瞄特定網址,以找出目標主機所可能存在弱點或是漏洞時,我們都可以從 NetFlow 資料中發現從網域中某個特定位址送出的大量 session

 

除了偵測網路的攻擊外,我們也可以透過分析 session 的方式找出網路濫用的行為,例如分析 NetFlow 資料中目的主機所使用埠號的資訊,透過分析對外 25 port 連結的相關資訊,若某一台主機對外 25 port 連結的數目在某個特定時間內超出正常值過多,我們便可合理懷疑這台主機被利用來散發廣告信或透過 e-mail感染蠕蟲,同樣原理我們也可以應用來分析像 emule peer-to-peer 檔案分享軟體常用之 TCP 4662 / UDP 4672 port,找出網路濫用的行為,並進行適當處置以降低其所造成的傷害。
-----------------------------------------------------------------------
回應內容
-----------------------------------------------------------------------
  
 
發表回應
-----------------------------------------------------------------------
暱名(Name):
電子郵件(Email):
給個回應(content): (最多1000個字)
請輸入下圖所顯示的數字:
( 看不到圖中的數字怎麼辦? )
 

 
 
 
---
---- Copyrights 2008 by TCC Information Systems Corp. All rights reserved. 台泥資訊股份有限公司版權所有