當前位置:工程項目OA系統(tǒng) > 領域應用 > 網(wǎng)上辦公軟件 > 云OA辦公
云oa管理基礎知識:如何分析云oa異常流量
本文從互聯(lián)網(wǎng)運營商的視角,對互聯(lián)網(wǎng)異常流量的特征進行了深入分析,進而提出如何在云oa層面對互聯(lián)被過濾廣告網(wǎng)異常流量采取防護措施,其中重點講述了NetFlow分析在互聯(lián)網(wǎng)異常流量防護中的應用及典型案例。
云OA系統(tǒng)基礎知識一、NetFlow簡介
本文對互聯(lián)網(wǎng)異常流量的特征分析主要基于NetFlow數(shù)據(jù),因此首先對NetFlow做簡單介紹。
云oa系統(tǒng)基礎知識1. NetFlow概念
NetFlow是一種數(shù)據(jù)交換方式,其工作原理是:NetFlow利用標準的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù),生成NetFlow 緩存,隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸,不再匹配相關的訪問控制等策略,NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。
一個NetFlow流定義為在一個源IP地址和目的IP地址間傳輸?shù)膯蜗驍?shù)據(jù)包流,且所有數(shù)據(jù)包具有共同的傳輸層源、目的端口號。
云oa系統(tǒng)基礎知識2. NetFlow數(shù)據(jù)采集
針對路由器送出的NetFlow數(shù)據(jù),可以利用NetFlow數(shù)據(jù)采集軟件存儲到服務器上,以便利用各種NetFlow數(shù)據(jù)分析工具進行進一步的處理。
Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow數(shù)據(jù),其它許多廠家也提供類似的采集軟件。
下例為利用NFC2.0采集的云oa流量數(shù)據(jù)實例:
211.*.*.57|202.*.*.12|Others|localas|9|6|2392
|80|80|1|40|1
出于安全原因考慮,本文中出現(xiàn)的IP地址均經(jīng)過處理。
NetFlow數(shù)據(jù)也可以在路由器上直接查看,以下為從Cisco GSR路由器采集的數(shù)據(jù)實例,:
gsr #att 2(登錄采集NetFlow數(shù)據(jù)的GSR 2槽板卡)
LC-Slot2>sh ip cache flow
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Gi2/1 219.*.*.229 PO4/2 217.*.*.228 06 09CB 168D 2
Gi2/1 61.*.*.23 Null 63.*.*.246 11 0426 059A1
本文中的NetFlow數(shù)據(jù)分析均基于NFC采集的云oa流量數(shù)據(jù),針對路由器直接輸出的Neflow數(shù)據(jù),也可以采用類似方法分析。
3. NetFlow數(shù)據(jù)采集格式說明
NFC 可以定制多種NetFlow數(shù)據(jù)采集格式,下例為NFC2.0采集的一種流量數(shù)據(jù)實例,本文的分析都基于這種格式。
61.*.*.68|61.*.*.195|64917|Others|9|13|4528|
135|6|4|192|1
數(shù)據(jù)中各字段的含義如下:
源地址|目的地址|源自治域|目的自治域|流入接口號|流出接口號|源端口|目的端口|協(xié)議類型|包數(shù)量|字節(jié)數(shù)|流數(shù)量
云oa系統(tǒng)基礎知識4. 幾點說明
NetFlow主要由Cisco路由器支持,對于其它廠家的云oa產(chǎn)品也有類似的功能,例如Juniper路由器支持sFlow功能。
NetFlow支持情況與路由器類型、板卡類型、IOS版本、IOS授權都有關系,不是在所有情況下都能使用,使用時需考慮自己的軟硬件配置情況。
本文的所有分析數(shù)據(jù)均基于采自Cisco路由器的NetFlow數(shù)據(jù)。
二、互聯(lián)網(wǎng)異常流量的NetFlow分析
要對互聯(lián)網(wǎng)異常流量進行分析,首先要深入了解其產(chǎn)生原理及特征,以下將重點從NetFlow數(shù)據(jù)角度,對異常流量的種類、流向、產(chǎn)生后果、數(shù)據(jù)包類型、地址、端口等多個方面進行分析。
1. 異常流量的種類
目前,對互聯(lián)網(wǎng)造成重大影響的異常流量主要有以下幾種:
(1)拒絕服務攻擊(DoS)
DoS攻擊使用非正常的數(shù)據(jù)流量攻擊云oa設備或其接入的服務器,致使云oa設備或服務器的性能下降,或占用云oa帶寬,影響其它相關用戶流量的正常通信,最終可能導致云oa服務的不可用。
例如DoS可以利用TCP協(xié)議的缺陷,通過SYN打開半開的TCP連接,占用系統(tǒng)資源,使合法用戶被排斥而不能建立正常的TCP連接。
以下為一個典型的DoS SYN攻擊的NetFlow數(shù)據(jù)實例,該案例中多個偽造的源IP同時向一個目的IP發(fā)起TCP SYN攻擊。
117.*.68.45|211.*.*.49|Others|64851|3|2|10000|
10000|6|1|40|1
104.*.93.81|211.*.*.49|Others|64851|3|2|5557|
5928|6|1|40|1
58.*.255.108|211.*.*.49|Others|64851|3|2|3330|
10000|6|1|40|1
由于Internet協(xié)議本身的缺陷,IP包中的源地址是可以偽造的,現(xiàn)在的DoS工具很多可以偽裝源地址,這也是不易追蹤到攻擊源主機的主要原因。
(2)分布式拒絕服務攻擊(DDoS)
DDoS把DoS又發(fā)展了一步,將這種攻擊行為自動化,分布式拒絕服務攻擊可以協(xié)調(diào)多臺計算機上的進程發(fā)起攻擊,在這種情況下,就會有一股拒絕服務洪流沖擊云oa,可能使被攻擊目標因過載而崩潰。
以下為一個典型的DDoS攻擊的NetFlow數(shù)據(jù)實例,該案例中多個IP同時向一個IP發(fā)起UDP攻擊。
61.*.*.67|69.*.*.100|64821|as9|2|9|49064|5230|
17|6571|9856500|1
211.*.*.163|69.*.*.100|64751|as9|3|9|18423|
22731|17|906|1359000|1
61.*.*.145|69.*.*.100|64731|Others|2|0|52452|
22157|17|3|4500|1
(3)云oa蠕蟲病毒流量
云oa蠕蟲病毒的傳播也會對云oa產(chǎn)生影響。近年來,Red Code、SQL Slammer、沖擊波、振蕩波等病毒的相繼爆發(fā),不但對用戶主機造成影響,而且對云oa的正常運行也構成了的危害,因為這些病毒具有掃描云oa,主動傳播病毒的能力,會大量占用云oa帶寬或云oa設備系統(tǒng)資源。
以下為最近出現(xiàn)的振蕩波病毒NetFlow數(shù)據(jù)實例,該案例中一個IP同時向隨機生成的多個IP發(fā)起445端口的TCP連接請求,其效果相當于對云oa發(fā)起DoS攻擊。
61.*.*.*|168.*.*.200|Others|Others|3|0|1186|
445|6|1|48|1
61.*.*.*|32.*.*.207|Others|Others|3|0|10000|
445|6|1|48|1
61.*.*.*|24.*.*.23|Others|Others|3|0|10000|
445|6|1|48|1
(4)其它異常流量
我們把其它能夠影響云oa正常運行的流量都歸為異常流量的范疇,例如一些云oa掃描工具產(chǎn)生的大量TCP連接請求,很容易使一個性能不高的云oa設備癱瘓。
以下為一個IP對167.*.210.網(wǎng)段,針對UDP 137端口掃描的NetFlow數(shù)據(jù)實例:
211.*.*.54|167.*.210.95|65211|as3|2|10|1028|
137|17|1|78|1
211.*.*.54|167.*.210.100|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.54|167.*.210.103|65211|as3|2|10|
1028|137|17|1|78|1
2. 異常流量流向分析
從異常流量流向來看,常見的異常流量可分為三種情況:
網(wǎng)外對本網(wǎng)內(nèi)的攻擊
本網(wǎng)內(nèi)對網(wǎng)外的攻擊
本網(wǎng)內(nèi)對本網(wǎng)內(nèi)的攻擊
針對不同的異常流量流向,需要采用不同的防護及處理策略,所以判斷異常流量流向是進一步防護的前提,以下為這三種情況的NetFlow數(shù)據(jù)實例:
124.*.148.110|211.*.*.49|Others|64851|3|2|
10000|10000|6|1|40|1
211.*.*.54|167.*.210.252|65211|as3|2|10|
1028|137|17|1|78|1
211.*.*.187|211.*.*.69|Others|localas|71|6|1721|
445|6|3|144|1
其中211開頭的地址為本網(wǎng)地址。
3. 異常流量產(chǎn)生的后果
異常流量對云oa的影響主要體現(xiàn)在兩個方面:
占用帶寬資源使云oa擁塞,造成云oa丟包、時延增大,嚴重時可導致云oa不可用;
占用云oa設備系統(tǒng)資源(CPU、內(nèi)存等),使云oa不能提供正常的服務。
4. 異常流量的數(shù)據(jù)包類型
常見的異常流量數(shù)據(jù)包形式有以下幾種:
?TCP SYN flood(40字節(jié))
11.*.64.3|2.*.38.180|64821|as10|5|4|1013|18|6|
1|40|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為6(TCP),數(shù)據(jù)流大小為40字節(jié)(通常為TCP的SYN連接請求)。
?ICMP flood
2.*.33.1|1.*.97.22|as12|64811|5|2|0|0|1|146173|
218359704|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為1(ICMP),單個數(shù)據(jù)流字節(jié)數(shù)達218M字節(jié)。
?UDP flood
*.*.206.73|160.*.71.129|64621|Others|6|34|
1812|1812|17|224|336000|1
*.*.17.196|25.*.156.119|64621|Others|6|34|
1029|137|17|1|78|1
從NetFlow的采集數(shù)據(jù)可以看出,此異常流量的典型特征是數(shù)據(jù)包協(xié)議類型為17(UDP),數(shù)據(jù)流有大有小。
?其它類型
其它類型的異常流量也會在云oa中經(jīng)常見到,從理論上來講,任何正常的數(shù)據(jù)包形式如果被大量濫用,都會產(chǎn)生異常流量,如以下的DNS正常訪問請求數(shù)據(jù)包(協(xié)議類型53)如果大量發(fā)生,就會產(chǎn)生對DNS服務器的DoS攻擊。
211.*.*.146|211.*.*.129|Others|Others|71|8|
3227|53|53|1|59|1
5. 異常流量的源、目的地址
目的地址為固定的真地址,這種情況下目的地址通常是被異常流量攻擊的對象,如下例數(shù)據(jù):
211.*.*.153|*.10.72.226|as2|as8|5|4|3844|10000|
17|2|3000|2
211.*.*.153|*.10.72.226|
as2|as8|5|4|3845|10000|17|1|1500|1
211.*.*.153|*.10.72.226|as2|as8|5|4|3846|10000|
17|1|1500|1
目的地址隨機生成,如下例數(shù)據(jù):
211.*.*.187|169.*.190.17|Others|localas|71|6|
1663|445|6|3|144|1
211.*.*.187|103.*.205.148|Others|localas|71|6|
3647|445|6|3|144|1
211.*.*.187|138.*.80.79|Others|localas|71|6|
1570|445|6|3|144|1
目的地址有規(guī)律變化,如下例數(shù)據(jù),目的地址在順序增加:
211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
源地址為真實IP地址,數(shù)據(jù)同上例:
源地址為偽造地址,這種情況源地址通常隨機生成,如下例數(shù)據(jù),源地址都是偽造的云oa地址:
63.245.0.0|209.*.*.38|as5|as4|3|7|1983|23|23|
1|40|1
12.51.0.0 |209.*.*.38 |as6|as4|3|7|1159|2046|6|
1|40|1
212.62.0.0|209.*.*.38| as7|as4|3|7|1140|3575|6|
1|40|1
6. 異常流量的源、目的端口分析
異常流量的源端口通常會隨機生成,如下例數(shù)據(jù):
211.*.*.187|169.172.190.17|Others|localas|71|
6|1663|445|6|3|144|1
211.*.*.187|103.210.205.148|Others|localas|71|
6|3647|445|6|3|144|1
211.*.*.187|138.241.80.79|Others|localas|71|6|
1570|445|6|3|144|1
多數(shù)異常流量的目的端口固定在一個或幾個端口,我們可以利用這一點,對異常流量進行過濾或限制,如下例數(shù)據(jù),目的端口為UDP 6789:
211.*.*.219|192.*.254.18|Others|Others|15|9|
10000|6789|17|1|36|1
211.*.*.219|192.*.254.19|Others|Others|15|9|
10000|6789|17|2|72|2
211.*.*.219|192.*.254.20|Others|Others|15|9|
10000|6789|17|3|108|3
三、利用NetFlow工具處理防范云oa異常流量
從某種程度上來講,互聯(lián)網(wǎng)異常流量永遠不會消失而且從技術上目前沒有根本的解決辦法,但對網(wǎng)管人員來說,可以利用許多技術手段分析異常流量,減小異常流量發(fā)生時帶來的影響和損失,以下是處理云oa異常流量時可以采用的一些方法及工具:
1. 判斷異常流量流向
因為目前多數(shù)云oa設備只提供物理端口入流量的NetFlow數(shù)據(jù),所以采集異常流量NetFlow數(shù)據(jù)之前,首先要判斷異常流量的流向,進而選擇合適的物理端口去采集數(shù)據(jù)。
流量監(jiān)控管理軟件是判斷異常流量流向的有效工具,通過流量大小變化的監(jiān)控,可以幫助我們發(fā)現(xiàn)異常流量,特別是大流量異常流量的流向,從而進一步查找異常流量的源、目的地址。
目前最常用的流量監(jiān)控工具是免費軟件MRTG,下圖為利用MRTG監(jiān)測到的云oa異常流量實例,可以看出被監(jiān)測設備端口在當天4:00至9:30之間產(chǎn)生了幾十Mbps的異常流量,造成了該端口的擁塞(峰值流量被拉平)。
如果能夠?qū)⒘髁勘O(jiān)測部署到全網(wǎng),這樣在類似異常流量發(fā)生時,就能迅速找到異常流量的源或目標接入設備端口,便于快速定位異常流量流向。
有些異常流量發(fā)生時并不體現(xiàn)為大流量的產(chǎn)生,這種情況下,我們也可以綜合異常流量發(fā)生時的其它現(xiàn)象判斷其流向,如設備端口的包轉(zhuǎn)發(fā)速率、云oa時延、丟包率、云oa設備的CPU利用率變化等因素。
2. 采集分析NetFlow數(shù)據(jù)
判斷異常流量的流向后,就可以選擇合適的云oa設備端口,實施Neflow配置,采集該端口入流量的NetFlow數(shù)據(jù)。
以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實例:
ip flow-export source Loopback0
ip flow-export destination *.*.*.61 9995
ip flow-sampling-mode packet-interval 100
interface GigabitEthernet10/0
ip route-cache flow sampled
通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61,該實例中采用sampled模式,采樣間隔為100:1。
3. 處理異常流量的方法
(1)切斷連接
在能夠確定異常流量源地址且該源地址設備可控的情況下,切斷異常流量源設備的物理連接是最直接的解決辦法。
(2)過濾
采用ACL(Access Control List)過濾能夠靈活實現(xiàn)針對源目的IP地址、協(xié)議類型、端口號等各種形式的過濾,但同時也存在消耗云oa設備系統(tǒng)資源的副作用,下例為利用ACL過濾UDP 1434端口的實例:
access-list 101 deny udp any any eq 1434
access-list 101 permit ip any any
此過濾針對蠕蟲王病毒(SQL Slammer),但同時也過濾了針對SQL Server的正常訪問,如果要保證對SQL Server的正常訪問,還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實施更細化的過濾策略(本文略)。
(3)靜態(tài)空路由過濾
能確定異常流量目標地址的情況下,可以用靜態(tài)路由把異常流量的目標地址指向空(Null),這種過濾幾乎不消耗路由器系統(tǒng)資源,但同時也過濾了對目標地址的正常訪問,配置實例如下:
ip route 205.*.*.2 255.255.255.255 Null 0
對于多路由器的云oa,還需增加相關動態(tài)路由配置,保證過濾在全網(wǎng)生效。
(4)異常流量限定
利用路由器CAR功能,可以將異常流量限定在一定的范圍,這種過濾也存在消耗路由器系統(tǒng)資源的副作用,以下為利用CAR限制UDP 1434端口流量的配置實例:
Router# (config) access-list 150 deny udp any any eq 1434
Router# (config) access-list 150 permit ip any any
Router# (config) interface fastEthernet 0/0
Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
conform-action drop exceed-action drop
此配置限定UDP 1434端口的流量為8Kbps。
四、常見蠕蟲病毒的NetFlow分析案例
利用上訴方法可以分析目前互聯(lián)網(wǎng)中存在的大多數(shù)異常流量,特別是對于近年來在互聯(lián)網(wǎng)中造成較大影響的多數(shù)蠕蟲病毒,其分析效果非常明顯,以下為幾種蠕蟲病毒的NetFlow分析實例:
1. 紅色代碼 (Code Red Worm)
2001年7月起發(fā)作,至今仍在云oa流量中經(jīng)常出現(xiàn)。
211.*.*.237|192.*.148.107|65111|as1|6|72|
3684|80|80|3|144|1
211.*.*.237|192.*.141.167|65111|as1|6|36|
4245|80|80|3|144|1
211.*.*.237|160.*.84.142|65111|as1|6|72|
4030|80|80|3|144|1
NetFlow流數(shù)據(jù)典型特征:目的端口80, 協(xié)議類型80,包數(shù)量3,字節(jié)數(shù)144。
2. 硬盤殺手(worm.opasoft,W32.Opaserv.Worm)
2002年9月30日起發(fā)作,曾對許多云oa設備性能造成影響,2003年后逐漸減少。
61.*.*.196|25.|*.156.106|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.107|64621|Others|6|36|
1029|137|17|1|78|1
61.*.*.196|25.*.156.108|64621|Others|6|36|
1029|137|17|1|78|1
NetFlow流數(shù)據(jù)典型特征:目的端口137,協(xié)議類型UDP,字節(jié)數(shù)78。
3. 2003蠕蟲王 (Worm.NetKiller2003,WORM_SQLP1434,W32.Slammer,W32.SQLExp.Worm)
2003年1月25日起爆發(fā),造成全球互聯(lián)網(wǎng)幾近癱瘓,至今仍是互聯(lián)網(wǎng)中最常見的異常流量之一。
61.*.*.124|28.*.17.190|65111|as1|6|34|4444|
1434|17|1|404|1
61.*.*.124|28.*.154.90|65111|as1|6|70|4444|
1434|17|1|404|1
61.*.*.124|28.*.221.90|65111|as1|6|36|4444|
1434|17|1|404|1
NetFlow流數(shù)據(jù)典型特征:目的端口1434,協(xié)議類型UDP,字節(jié)數(shù)404
4. 沖擊波 (WORM.BLASTER,W32.Blaster.Worm)
2003年8月12日起爆發(fā),由其引發(fā)了危害更大的沖擊波殺手病毒。
211.*.*.184|99.*.179.27|Others|Others|161|0|
1523|135|6|1|48|1
211.*.*.184|99.*.179.28|Others|Others|161|0|
1525|135|6|1|48|1
211.*.*.184|99.*.179.29|Others|Others|161|0|
1527|135|6|1|48|1
典型特征:目的端口135,協(xié)議類型TCP,字節(jié)數(shù)48
5. 沖擊波殺手(Worm.KillMsBlast,W32.Nachi.worm,W32.Welchia.Worm)
2003年8月18日起發(fā)現(xiàn),其產(chǎn)生的ICMP流量對全球互聯(lián)網(wǎng)造成了很大影響,2004年后病毒流量明顯減少。
211.*.*.91|211.*.*.77|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.78|Others|Others|4|0|0|
2048|1|1|92|1
211.*.*.91|211.*.*.79|Others|Others
【推薦閱讀】
◆泛普網(wǎng)管軟件專區(qū)
◆泛普云oa系統(tǒng)管理專區(qū)
◆云oa系統(tǒng)員工資低是怎么造就的?
◆云oa系統(tǒng)軟件已逐步向云oa系統(tǒng)管理軟件升級
- 1組織結(jié)構變革將成為IT與業(yè)務融合的基石
- 2數(shù)據(jù)庫運維實時監(jiān)控重要性分析
- 3云oa系統(tǒng): 成功在于“誠信”
- 4云oa系統(tǒng)管理難題解決方法探討
- 5什么是運維管理?云oa系統(tǒng)管理管什么?
- 6xPON云oa運維簡單化實現(xiàn)方法
- 7云oa系統(tǒng)管理四技巧 切實降低管理工作量
- 8中國云oa系統(tǒng)外包服務市場趨勢淺析
- 9云oa系統(tǒng)主動服務模式性能分析
- 10IT信息運維管理安全如何保障
- 11企業(yè)云oa系統(tǒng)管理規(guī)律如何保證
- 12ITSM之IT服務交付功能子系統(tǒng)詳解
- 13云oa系統(tǒng)管理門戶該如何創(chuàng)建
- 14云oa系統(tǒng)資產(chǎn)管理概念講解
- 15云oa系統(tǒng)管理人員的假期軟硬件維護清單
- 16數(shù)據(jù)中心運維管理目標總結(jié)
- 17十大云oa安全策略防騙術 全面防范云oa欺詐
- 18云oa系統(tǒng)服務目錄結(jié)構制定難題分析
- 19外籍云oa系統(tǒng)管理人員有何難處
- 20制定云oa系統(tǒng)管理目標滿足各種運維需求
- 21云oa安全管理策略:屏蔽云oa設置參數(shù)的技巧
- 22云oa系統(tǒng)管理是虛擬化成功的先決條件
- 23云oa系統(tǒng)管理市場與“洗衣機之爭”
- 24云oa管理員基礎知識:IP地址與子網(wǎng)掩碼衍生用法
- 25云oa管理維護技巧:軟件加密的最高境界
- 26金字塔云oa系統(tǒng)管理模式構建過程解析
- 27云oa運維管理工程師四則故事解讀
- 28企業(yè)云oa系統(tǒng)管理難題解決方法介紹
- 29能源行業(yè)云oa系統(tǒng)管理特點介紹
- 30制定云oa系統(tǒng)表單方法介紹
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓