利用Netflow進行網(wǎng)絡(luò)安全管理

2019-11-04 21:09:42

字體：大中小

供稿：網(wǎng)友

　　1 電信運營商互聯(lián)網(wǎng)安全面臨的挑戰(zhàn)
　　

　　隨著寬帶互聯(lián)網(wǎng)在中國的迅速發(fā)展，中國各大電信運營商的網(wǎng)絡(luò)規(guī)模都在不斷擴張，接入的企業(yè)用戶和個人用戶也在成爆炸性增長。而且越來越多的寬帶接入用戶已經(jīng)把互聯(lián)網(wǎng)作為進行企業(yè)運作，電子商務(wù)和通信溝通的主要平臺。互聯(lián)網(wǎng)上傳送的已不再只是網(wǎng)頁瀏覽，電子郵件等單純的個人通信，而且也包括了銀行在線交易，商務(wù)視頻/語音會議，企業(yè)ERP，電子訂單等等任務(wù)要害型的通信流量。保障這些要害通信業(yè)務(wù)的安全和服務(wù)不中斷是運營商提升服務(wù)質(zhì)量，贏得高端用戶必不可少的要求。
　　
　　但在當前環(huán)境下，與互聯(lián)網(wǎng)規(guī)模迅速發(fā)展相伴隨的還有網(wǎng)絡(luò)安全攻擊的頻繁涌現(xiàn)。黑客對網(wǎng)絡(luò)攻擊的目標已經(jīng)由幾年前的攻擊個別服務(wù)器、企業(yè)網(wǎng)站擴展到了對整個互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的攻擊，并希望由此造成整個互聯(lián)網(wǎng)及其承載的要害業(yè)務(wù)的整體癱瘓。其中危害較大的攻擊方式主要有兩種：DDoS攻擊和蠕蟲病毒。對這兩種可能對互聯(lián)網(wǎng)造成大范圍網(wǎng)絡(luò)癱瘓和巨大經(jīng)濟損失的網(wǎng)絡(luò)安全事故，運營商需要采用一切必要技術(shù)和治理手段進行防范。
　　
　　DDoS攻擊和蠕蟲病毒對運營商網(wǎng)絡(luò)的攻擊原理雖然不同，但他們也有內(nèi)在的共同特點。那就是這兩種網(wǎng)絡(luò)安全攻擊都會表現(xiàn)為網(wǎng)絡(luò)流量的忽然急劇增大，迅速耗盡運營商網(wǎng)絡(luò)的所有帶寬資源，造成普通用戶的正常通信阻斷，進而癱瘓用戶業(yè)務(wù)甚至整個互聯(lián)網(wǎng)。如何迅速發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的通信流量異常，并及時確定異常通信的準確技術(shù)參數(shù)（如攻擊的來源，異常通信的具體流向和流量信息，占用的網(wǎng)絡(luò)端口，持續(xù)的時間等）是治理員能否在短時間內(nèi)對網(wǎng)絡(luò)安全攻擊做出正確響應(yīng)，減少其對運營商網(wǎng)絡(luò)和用戶業(yè)務(wù)影響的一個要害因素。
　　
　　2 Netflow技術(shù)簡介
　　
　　作為業(yè)界領(lǐng)先的互聯(lián)網(wǎng)解決方案提供商，思科公司不但提供了性能卓越的網(wǎng)絡(luò)設(shè)備，還同步為網(wǎng)絡(luò)設(shè)備配套研發(fā)了一系列內(nèi)嵌式智能網(wǎng)管代理。其中就包括主要用于網(wǎng)絡(luò)流量/流向分析和網(wǎng)絡(luò)異常通信檢測的Netflow技術(shù)。下面對Netflow技術(shù)做一個簡單介紹。
　　
　　Netflow技術(shù)的起源
　　
　　Netflow技術(shù)最早是于1996年由思科公司的Darren Kerr和Barry Bruins發(fā)明的，并于同年5月注冊為美國專利，專利號為6,243,667。Netflow技術(shù)首先被用于網(wǎng)絡(luò)設(shè)備對數(shù)據(jù)交換進行加速，并可同步實現(xiàn)對高速轉(zhuǎn)發(fā)的ip數(shù)據(jù)流(Flow)進行測量和統(tǒng)計。經(jīng)過多年的技術(shù)演進，Netflow原來用于數(shù)據(jù)交換加速的功能已經(jīng)逐步由網(wǎng)絡(luò)設(shè)備中的專用ASIC芯片實現(xiàn)，而對流經(jīng)網(wǎng)絡(luò)設(shè)備的IP數(shù)據(jù)流進行特征分析和測量的功能也已更加成熟，成為了當今互聯(lián)網(wǎng)領(lǐng)域公認的最主要的IP/MPLS流量分析和計量行業(yè)標準，同時也被廣泛用于網(wǎng)絡(luò)安全治理。利用Netflow技術(shù)能對IP/MPLS網(wǎng)絡(luò)的通信流量進行具體的行為模式分析和計量，并提供網(wǎng)絡(luò)運行的準確統(tǒng)計數(shù)據(jù)，這些功能都是運營商在進行網(wǎng)絡(luò)安全治理時實現(xiàn)異常通信流量檢測和參數(shù)定性分析所必需的。
　　
　　IP網(wǎng)絡(luò)中的數(shù)據(jù)流（Flow）信息
　　
　　為對運營商網(wǎng)絡(luò)中的異常流量進行檢測，首先需要對網(wǎng)絡(luò)中不同類型業(yè)務(wù)的正常通信進行基線分析，包括測量和統(tǒng)計不同業(yè)務(wù)日常的流量和流向數(shù)據(jù)并計算基線的合理范圍。
　　
　　為完成上述對不同類型業(yè)務(wù)的測量工作，首先需要對網(wǎng)絡(luò)中傳輸?shù)母鞣N類型數(shù)據(jù)包進行區(qū)分。由于IP網(wǎng)絡(luò)的非面向連接特性，網(wǎng)絡(luò)中不同類型業(yè)務(wù)的通信可能是任意一臺終端設(shè)備向另一臺終端設(shè)備發(fā)送的一組IP數(shù)據(jù)包，這組數(shù)據(jù)包實際上就構(gòu)成了運營商網(wǎng)絡(luò)中某種業(yè)務(wù)的一個數(shù)據(jù)流（Flow）。假如治理系統(tǒng)能對全網(wǎng)傳送的所有Flow進行區(qū)分，準確記錄每個Flow的傳送時間、占用的網(wǎng)絡(luò)端口、傳送源/目的地址和數(shù)據(jù)流的大小，就可以對運營商全網(wǎng)所有通信的流量和流向進行分析和統(tǒng)計，進而計算出正常通信的基線以及發(fā)現(xiàn)突發(fā)的異常通信流量。
　　
　　通過分析網(wǎng)絡(luò)中不同F(xiàn)low間的差別，可以發(fā)現(xiàn)判定任何兩個IP數(shù)據(jù)包是否屬于同一個Flow實際上可以通過分析IP數(shù)據(jù)包的下屬7個屬性來實現(xiàn)，即數(shù)據(jù)包的：
　　
　　·源IP地址
　　·目標IP地址
　　·源通信端口號
　　·目標通信端口號
　　·第三層協(xié)議類型
　　·TOS字節(jié)（DSCP）
　　·網(wǎng)絡(luò)設(shè)備輸入（或輸出）的邏輯網(wǎng)絡(luò)端口（ifIndex）
　　·思科公司的Netflow技術(shù)就是利用分析IP數(shù)據(jù)包的上述7個屬性，可以快速區(qū)分網(wǎng)絡(luò)中傳送的各種不同類型業(yè)務(wù)的Flow。
對區(qū)分出的每個數(shù)據(jù)流Netflow可以進行單獨地跟蹤和準確計量，記錄其傳送方向和目的地等流向特性，統(tǒng)計其起始和結(jié)束時間，服務(wù)類型，包含的數(shù)據(jù)包數(shù)量和字節(jié)數(shù)量等流量信息。對采集到的數(shù)據(jù)流流量和流向信息，Netflow可以定期輸出原始記錄，也可以對原始記錄進行自動匯聚后輸出統(tǒng)計結(jié)果。
　　
　　Netflow的處理機制
　　
　　從發(fā)明之初思科公司的Netflow技術(shù)就已完全融入了IOS操作系統(tǒng)中。由于Netflow技術(shù)支持幾乎所有類型的網(wǎng)絡(luò)端口類型，所以每臺內(nèi)置有Netflow 功能的思科網(wǎng)絡(luò)設(shè)備都可以作為網(wǎng)絡(luò)中一臺能夠測量、采集和輸出網(wǎng)絡(luò)流量和流向治理信息的實時數(shù)據(jù)采集器。而且因為Netflow實現(xiàn)的治理功能是由網(wǎng)絡(luò)設(shè)備本身完成的，所以運營商無需購買額外的硬件設(shè)備，也無需為安裝這些硬件設(shè)備占用寶貴的網(wǎng)絡(luò)端口或改變網(wǎng)絡(luò)鏈路的連接關(guān)系。這些都將轉(zhuǎn)化成對網(wǎng)絡(luò)運營成本的大幅度降低，對運營商級的大型網(wǎng)絡(luò)優(yōu)勢尤其明顯。
　　
　　同時作為一種網(wǎng)絡(luò)通信的宏觀分析工具，Netflow技術(shù)并不分析網(wǎng)絡(luò)中每一個數(shù)據(jù)包中包含的具體信息，只是對傳送的數(shù)據(jù)流的特性進行檢測，這就確保了Netflow技術(shù)具有極大的規(guī)模可擴展性：支持高速網(wǎng)絡(luò)端口和大型的電信網(wǎng)絡(luò)。
　　
　　為進一步提高Netflow技術(shù)對網(wǎng)絡(luò)流量/流向信息進行采集和統(tǒng)計的效率和靈活性，Netflow還引進了多級的處理流程，如下圖所示：
　　

　　　　　　　　　　　　　　　圖1 NetFlow的處理流程
　　　　　　　　　　　　　　　
　　在預處理階段，Netflow可以首先根據(jù)網(wǎng)絡(luò)治理的需要對特定級別的數(shù)據(jù)流進行過濾或?qū)Ω咚倬W(wǎng)絡(luò)端口進行數(shù)據(jù)包抽樣，這樣可以在確保需要的治理信息被采集和統(tǒng)計的同時，減少網(wǎng)絡(luò)設(shè)備的處理負荷，增加全系統(tǒng)的可擴展性。
　　
　　在后處理階段，Netflow可以選擇把采集到的數(shù)據(jù)流原始統(tǒng)計信息全部輸出，由上層治理服務(wù)器統(tǒng)一接收后再進行數(shù)據(jù)的分類處理和匯總；也可以選擇由網(wǎng)絡(luò)設(shè)備自身對原始統(tǒng)計信息進行多種形式的數(shù)據(jù)匯聚，只把匯總后的統(tǒng)計結(jié)果發(fā)送給上層治理服務(wù)器。由網(wǎng)絡(luò)設(shè)備進行原始統(tǒng)計信息的匯聚可以大大減少網(wǎng)絡(luò)設(shè)備輸出的數(shù)據(jù)量，降低對上層治理服務(wù)器的配置要求，提高上層治理系統(tǒng)的擴展性和工作效率。
　　
　　Netflow支持同時向兩個治理服務(wù)器地址輸出采集到的網(wǎng)絡(luò)流量和流向統(tǒng)計信息，輸出數(shù)據(jù)的方式有三種：
　　
　　·簡單高效UDP傳輸協(xié)議方式（傳統(tǒng)方式）。但由于采用了UDP協(xié)議，數(shù)據(jù)傳輸?shù)目煽啃允遣槐ＷC的。
　　·SNMP MIB方式。治理服務(wù)器可以通過SNMP協(xié)議訪問網(wǎng)絡(luò)設(shè)備Netflow MIB庫中存儲的數(shù)據(jù)流Top N統(tǒng)計結(jié)果。
　　·可靠的SCTP傳輸協(xié)議方式。利用SCTP傳輸協(xié)議，支持擁塞識別，重傳和排隊機制，確保Netflow統(tǒng)計結(jié)果數(shù)據(jù)正確發(fā)送給上層治理服務(wù)器。
　　Netflow的版本演進
　　
　　在Netflow技術(shù)的演進過程中，思科公司一共開發(fā)出了5個主要的實用版本，即：
　　
　　·Netflow V1，為Netflow技術(shù)的第一個實用版本。支持IOS 11.1，11.2，11.3和12.0，但在如今的實際網(wǎng)絡(luò)環(huán)境中已經(jīng)不建議使用
　　·Netflow V5，增加了對數(shù)據(jù)流BGP AS信息的支持，是當前主要的實際應(yīng)用版本。支持IOS 11.1CA和12.0及其后續(xù)IOS版本
　　·Netflow V7，思科Catalyst交換機設(shè)備支持的一個Netflow版本，需要利用交換機的MLS或CEF處理引擎。
　　·Netflow V8，增加了網(wǎng)絡(luò)設(shè)備對Netflow統(tǒng)計數(shù)據(jù)進行自動匯聚的功能（共支持11種數(shù)據(jù)匯聚模式），可以大大降低對數(shù)據(jù)輸出的帶寬需求。支持IOS12.0(3)T，12.0(3)S12.1及其后續(xù)IOS版本。
　　·Netflow V9，一種全新的靈活和可擴展的Netflow數(shù)據(jù)輸出格式，采用了基于模板（Template）的統(tǒng)計數(shù)據(jù)輸出。方便添加需要輸出的數(shù)據(jù)域和支持多種Netflow新功能，如Multicase Netflow，MPLS Aware Netflow，BGP Next Hop V9，Netflow for IPv6等。支持IOS12.0(24)S和12.3T及其后續(xù)IOS版本。在2003年思科公司的Netflow V9還被IETF組織從5個候選方案中確定為IPFIX（IP Flow Information EXPort）標準。
　　
　　Netflow數(shù)據(jù)輸出格式
　　
　　下面對網(wǎng)絡(luò)流量和流向分析系統(tǒng)中最常使用的Netflow V5數(shù)據(jù)輸出的數(shù)據(jù)包格式進行一個簡單介紹。
　　下圖為Netflow輸出數(shù)據(jù)包的包頭格式：
　　

　　　　　　　　　　　　圖2 Netflow V5輸出數(shù)據(jù)包的包頭格式
　　　　　　　　　　　　
　　下圖為包含在每個 Netflow V5輸出數(shù)據(jù)包中的具體數(shù)據(jù)流的流量和流向統(tǒng)計信息的數(shù)據(jù)格式：
　　

　　圖3 Netflow V5輸出數(shù)據(jù)包中每個數(shù)據(jù)流的具體流量和流向統(tǒng)計信息格式
　　
　　Netflow V9的數(shù)據(jù)輸出格式與V5有較大區(qū)別，主要是因為Netflow V9采用了基于模板式的數(shù)據(jù)輸出方式。網(wǎng)絡(luò)設(shè)備在進行Netflow V9格式的數(shù)據(jù)輸出時會向上層治理服務(wù)器分別發(fā)送數(shù)據(jù)包模板和數(shù)據(jù)流紀錄。數(shù)據(jù)包模板確定了后續(xù)發(fā)送的數(shù)據(jù)流紀錄數(shù)據(jù)包的格式和長度，便于治理服務(wù)器對后續(xù)數(shù)據(jù)包的處理。同時為避免傳輸過程中出現(xiàn)丟包或錯誤，網(wǎng)絡(luò)設(shè)備會定期重復發(fā)送數(shù)據(jù)包模板給上層治理服務(wù)器。

　　
　　3 如何利用Netflow技術(shù)進行互聯(lián)網(wǎng)的安全治理
　　
　　利用Netflow技術(shù)，運營商治理員主要可以實現(xiàn)對網(wǎng)絡(luò)異常通信的檢測，重點防范DDoS攻擊和大范圍的蠕蟲病毒發(fā)作，建議的處理流程如下：
　　
　　·治理預備階段：預先在網(wǎng)絡(luò)設(shè)備上啟動Netflow，并把Netflow采集到的網(wǎng)絡(luò)通信流量和流向數(shù)據(jù)發(fā)送給運營商安全治理中心部署的相應(yīng)Netflow分析和安全治理系統(tǒng)。治理系統(tǒng)通過分析日常Netflow采集到的統(tǒng)計數(shù)據(jù)，可以事先把握網(wǎng)絡(luò)的流量分布狀況以及全網(wǎng)通信的正常基線，并以此為依據(jù)為日后可能出現(xiàn)的通信異常進行評估。
　　·攻擊發(fā)現(xiàn)和識別階段：由于Netflow治理代理是內(nèi)嵌在網(wǎng)絡(luò)設(shè)備中的，當網(wǎng)絡(luò)流量忽然出現(xiàn)異常時，Netflow可以迅速做出反應(yīng)。異常通信的流量和流向統(tǒng)計信息可以被實時匯總到治理中心的安全治理系統(tǒng)。通過分析，治理系統(tǒng)可以區(qū)分出異常流量的具體屬性，包括異常出現(xiàn)的時刻，通信的來源地址和目的地地址的分布，占用端口的分布狀況，通信流量的峰值，持續(xù)的時間等等。
　　·攻擊確認和分類階段：根據(jù)分析出的異常通信的具體屬性，以及與網(wǎng)絡(luò)通信正常基線的比對，治理員可以快速定性出現(xiàn)的通信異常是否為網(wǎng)絡(luò)安全攻擊、確定安全攻擊的類型和評估本次攻擊的危險程度及可能造成的影響范圍。對會造成大范圍網(wǎng)絡(luò)影響甚至業(yè)務(wù)癱瘓的惡性安全攻擊需要進行實時告警。
　　·攻擊追蹤階段：在確定安全攻擊的類型和危險級別后，為便于在源頭阻塞安全攻擊，需要為進一步澄清安全攻擊出現(xiàn)的原始來源以及除主要攻擊源外是否還存在其它安全危險來源。治理員可以利用治理系統(tǒng)對Netflow采集到的原始攻擊數(shù)據(jù)包的具體特性進行察看，查找最先出現(xiàn)攻擊的數(shù)據(jù)源，以及隨時間的發(fā)展是否還有其它新的安全攻擊數(shù)據(jù)源的出現(xiàn)。
　　·處理階段：在確認了所有主要安全攻擊的來源后，治理員可根據(jù)本次所受攻擊的特點采用相應(yīng)技術(shù)手段實施事故應(yīng)急處理，如為出現(xiàn)攻擊的網(wǎng)絡(luò)端口配置入向或出向的訪問控制列表，對特定類型通信流量進行限速等。通過這些技術(shù)措施可以對網(wǎng)絡(luò)安全攻擊流量進行阻斷，防止其對大范圍網(wǎng)絡(luò)的運行造成影響。
　　·后續(xù)監(jiān)視階段：在安全攻擊被阻斷后，全網(wǎng)所有設(shè)備中的Netflow治理代理還會繼續(xù)對網(wǎng)絡(luò)通信流量進行采集和檢測，匯總到治理系統(tǒng)的統(tǒng)計數(shù)據(jù)可以評估是否所有攻擊都已經(jīng)被屏蔽，并持續(xù)監(jiān)視是否還有新的安全攻擊的出現(xiàn)。
　　
　　為更好地幫助電信運營商利用思科的Netflow技術(shù)對互聯(lián)網(wǎng)進行有效的安全治理，思科公司還與多家業(yè)界知名的安全治理系統(tǒng)開發(fā)商達成了技術(shù)合作，合作利用Netflow技術(shù)開發(fā)電信級的網(wǎng)絡(luò)安全治理系統(tǒng)。現(xiàn)在市場上支持思科Netflow技術(shù)的網(wǎng)絡(luò)安全治理系統(tǒng)有多種，如思科公司自己提供的Cisco Info Center治理系統(tǒng)，以及如Arbor Networks公司，Mazu Networks公司，Adlex公司等多家第三方廠商提供的安全治理軟件。

上一篇：Cisco與Sun聯(lián)手開發(fā)新型網(wǎng)絡(luò)管理方案

下一篇：關(guān)注網(wǎng)絡(luò)管理“亞健康”