flow分析.doc

flow分析(作者:曹铮)曹铮(中国联通数据与固定通信业务部)摘  要  本文从互联网运营商的视角,flow分析手段,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,flow分析案例。关键词  互联网  异常流量  Netflow  流量分析DoS/DDoS  蠕虫病毒一、前言    近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。    本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,flow分析在互联网异常流量防护中的应用及典型案例。flow简介    flow数据,flow做简单介绍。    flow概念    NetFlow是一种数据交换方式,Flow利用标准的交换模式处理数据流的第一个IP包数据,Flow缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,Flow缓存同时包含了随后数据流的统计信息。    Flow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。      flow数据采集    flow数据,flow数据采集软件存储到服务器上,flow数据分析工具进行进一步的处理。    flowCollector(NFC)flow数据,其它许多厂家也提供类似的采集软件。    :      211.*.*.57|202.*.*.12|Others|localas|9|6|2392|80|80|1|40|1    出于安全原因考虑,本文中出现的IP地址均经过处理。    Netflow数据也可以在路由器上直接查看,以下为从CiscoGSR路由器采集的数据实例,:    gsr#att2      (flow数据的GSR2槽板卡)    LC-Slot2>shipcacheflow    SrcIf  SrcIPaddress  DstIf  DstIPaddress  PrSrcPDstP  Pkts    Gi2/1  219.*.*.229  PO4/2  217.*.*.228  0609CB168D  2    Gi2/1  61.*.*.23  Null  63.*.*.246  11  0426059A    1    flow数据分析均基于NFC采集的网络流量数据,针对路由器直接输出的Neflow数据,也可以采用类似方法分析。      flow数据采集格式说明    flow数据采集格式,,本文的分析都基于这种格式。    61.*.*.68|61.*.*.195|64917|Others|9|13|4528|135|6|4|192|1    数据中各字段的含义如下:    源地址|目的地址|源自治域|目的自治域|流入接口号|流出接口号|源端口|目的端口|协议类型|包数量|字节数|流数量        Netflow主要由Cisco路由器支持,对于其它厂家的网络产品也有类似的功能,例如Juniper路由器支持sFlow功能。    Netflow支持情况