高校網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測系統(tǒng)設(shè)計(jì)

趙曉峰，李育澤，徐義東

(安徽財(cái)經(jīng)大學(xué)，安徽　蚌埠　233000)

?

高校網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測系統(tǒng)設(shè)計(jì)

趙曉峰，李育澤，徐義東

(安徽財(cái)經(jīng)大學(xué)，安徽蚌埠233000)

摘要：利用開源軟件設(shè)計(jì)并實(shí)現(xiàn)了一套基于NetFlow的網(wǎng)絡(luò)監(jiān)測系統(tǒng)，運(yùn)用該系統(tǒng)可對(duì)校園網(wǎng)絡(luò)進(jìn)行有效監(jiān)測、分析，同時(shí)使用該系統(tǒng)還可以檢測校園網(wǎng)中的異常流量，對(duì)校園網(wǎng)的運(yùn)行維護(hù)提供了很好的幫助作用。

關(guān)鍵詞：NetFlow；數(shù)據(jù)采集；異常流量分析

高校網(wǎng)絡(luò)為高校師生科研、生活、學(xué)習(xí)提供了非常大的便利，但隨著網(wǎng)絡(luò)應(yīng)用的不斷擴(kuò)大，校園網(wǎng)上的蠕蟲病毒、網(wǎng)絡(luò)攻擊等異常流量層出不窮，這些異常行為消耗了大量的網(wǎng)絡(luò)資源，有時(shí)甚至因?yàn)檫@些異常流量的干擾而引起骨干網(wǎng)絡(luò)變慢或癱瘓，給全網(wǎng)造成巨大損失。為了保證校園網(wǎng)高速、有效運(yùn)行，有必要在校園網(wǎng)主干網(wǎng)上布置一套高效的網(wǎng)絡(luò)流量監(jiān)控系統(tǒng)，對(duì)流經(jīng)主干節(jié)點(diǎn)的所有數(shù)據(jù)進(jìn)行實(shí)時(shí)檢測和分析。對(duì)流量進(jìn)行分析，首先要分清這些流量中哪些是正常流量？哪些是異常流量？各種類型的流量如何分布？這些問題必須借助某種有效的流量分析工具才能實(shí)現(xiàn)，在目前高校網(wǎng)絡(luò)環(huán)境下，大部分核心交換或路由設(shè)備中都具有該種工具——NetFlow，它最初是由Cisco公司開發(fā)，但現(xiàn)在很多廠家高端設(shè)備也都可以實(shí)現(xiàn)類似NetFlow的功能，如：Juniper，Enterasys，H3C(NetSream)等。Cisco的NetFlow 有多種版本，如：V1，V5，V7，V8，V9。安徽財(cái)經(jīng)大學(xué)核心設(shè)備為Cisco的7690、juniper的MX960，使用NetFlow V5和CFlowd進(jìn)行流量分析。本文提出并實(shí)現(xiàn)了一種基于NetFlow的監(jiān)控系統(tǒng)，通過這套能實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行狀況分析的系統(tǒng)，網(wǎng)管人員可對(duì)主干網(wǎng)運(yùn)行狀況進(jìn)行有效的監(jiān)控、管理，保證校園網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

一、NetFlow

NetFlow目前廣泛應(yīng)用于高端路由器和交換機(jī)中，NetFlow的數(shù)據(jù)輸出要求先在路由器或交換機(jī)上配制NetFlow流輸出，這樣路由器或交換機(jī)即可以UDP的方式向外發(fā)送信息，在NetFlow收集器端，需要配置好接收端口號(hào)、過濾策略等，收集器就可以接收到發(fā)送過來的NetFlow數(shù)據(jù)。一個(gè)Flow定義了一條在源和目的之間的單向流，這里的源和目的既包括了IP層的源IP和目的IP，也包括TCP層的源端口和目的端口。具體地說，一個(gè)Flow至少定義了以下七個(gè)關(guān)鍵元素：(1)源IP地址；(2)目的IP地址；(3)源端口號(hào)；(4)目的端口號(hào)；(5)三層協(xié)議的類型；(6)TOS字段；(7)入端口。這七個(gè)字段定義了唯一的一個(gè)Flow，如果有多條Flow，只要其中任何一個(gè)字段內(nèi)容不同，那么就被看成一條新的Flow。除此之外，一個(gè)Flow或許還包含其他的字段，這取決于NetFlow版本，不同版本的NetFlow格式不一樣，例如：NetFlow V5的版本還包括了AS字段，V1版本的就沒有。

二、網(wǎng)絡(luò)監(jiān)測系統(tǒng)架構(gòu)與實(shí)現(xiàn)

基于NetFlow的監(jiān)測系統(tǒng)架構(gòu)如圖1所示：

圖1　基于NetFlow的監(jiān)測系統(tǒng)架構(gòu)

該系統(tǒng)架構(gòu)下，各服務(wù)器采用開放源代碼的Linux操作系統(tǒng)，收集器的數(shù)據(jù)庫采用MySQL網(wǎng)絡(luò)數(shù)據(jù)庫，NetFlow采集服務(wù)器負(fù)責(zé)實(shí)時(shí)收集核心交換或路由設(shè)備傳送出來的NetFlow信息，收集器接收到數(shù)據(jù)后將它們插入MySQL數(shù)據(jù)表中，最后NetFlow分析器將收集到的數(shù)據(jù)進(jìn)行分析匹配，產(chǎn)生結(jié)果反饋給用戶。用戶也可通過CGI對(duì)存于數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行檢索和統(tǒng)計(jì)。該系統(tǒng)具體可分為以下幾個(gè)部分實(shí)現(xiàn)：(1)在核心交換或路由設(shè)備如CISCO7609上配置NetFlow，并輸出到指定采集器(IP)的固定UDP端口；(2)采集器軟件是Flow-tool或直接用Java程序?qū)崿F(xiàn)，該軟件監(jiān)聽UDP端口，接收進(jìn)入的NetFlow數(shù)據(jù)包并存儲(chǔ)為特定格式(一般是二進(jìn)制)的源文件；(3)用perl或Java等編程工具對(duì)NetFlow進(jìn)行分析和規(guī)范格式的操作，并將讀取的NetFlow信息存入MySQL中；(4)通過對(duì)數(shù)據(jù)庫中數(shù)據(jù)的檢索、分析，顯示全網(wǎng)運(yùn)行狀況，同時(shí)依據(jù)蠕蟲和攻擊等異常報(bào)文的流量特征，從數(shù)據(jù)庫中找出疑似異常流量IP地址；(5)將分析結(jié)果在Web客戶端中展示，或者通過E-mail、短信等接口發(fā)送。

三、異常流量分析和處理

利用存入MySQL中的NetFlow信息，可以方便的分析各時(shí)間段全網(wǎng)數(shù)據(jù)的流入、流出量，及全網(wǎng)流量中各協(xié)議分布情況等。由于有些異常流量如蠕蟲病毒、DOS攻擊、DDoS攻擊、黑客掃描等異常行為，其流量具有明顯的異常特征。因此，通過研究這些異常特征，再結(jié)合MySQL中的NetFlow信息，進(jìn)行流量異常特征比對(duì)，即可發(fā)現(xiàn)校園網(wǎng)中異常流量的IP地址，使網(wǎng)絡(luò)管理人員可以快速定位異常流量的發(fā)源地。基于NetFlow的異常流量檢測方法主要有以下兩種:一種基于標(biāo)志的檢測方法；另一種基于異常的檢測方法。

1.基于標(biāo)志的檢測方法

基于標(biāo)志的檢測方法是將收集到的信息與已知的網(wǎng)絡(luò)異常行為進(jìn)行特征比較，從而發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。特征比較常采用模式匹配，它的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的病毒或黑客攻擊，不能檢測到從未出現(xiàn)過的異常流量。通常情況下，大部分病毒或攻擊行為都是針對(duì)一些特定的端口發(fā)起攻擊， 如紅色代碼的NetFlow流數(shù)據(jù)典型特征為：目的端口80, 包數(shù)量3，字節(jié)數(shù)144。SQL語句如下：

select srcipaddress,srcp,dstipaddress,dstp,p,f1,pkts,octets from netflow where dstp=80 and pkts=3 and octets=144;

從查詢結(jié)果可以看到對(duì)應(yīng)的IP地址有幾千個(gè)對(duì)外的連接，該IP地址主機(jī)有可能感染了紅色代碼病毒。

2.基于異常的檢測方法

基于異常檢測建立在對(duì)大量流信息統(tǒng)計(jì)分析基礎(chǔ)上，通過判斷規(guī)定時(shí)間內(nèi)，統(tǒng)計(jì)結(jié)果是否明顯異常，從而判斷網(wǎng)絡(luò)中有無異常出現(xiàn)。例如，在通常情況下，網(wǎng)絡(luò)中的各種連接都有自己相對(duì)穩(wěn)定的頻率，如果一臺(tái)主機(jī)感染了病毒，它會(huì)試圖與外界建立更多的連接，以傳染網(wǎng)絡(luò)中的其它用戶，因此它發(fā)出請(qǐng)求建立連接的數(shù)量明顯變得偏高。該方法不依賴與已知網(wǎng)絡(luò)入侵行為的特征比對(duì)，能夠捕捉到未知的入侵行為，彌補(bǔ)了基于標(biāo)志檢測法的不足。幾種常見的異常流量有:拒絕服務(wù)攻擊(DOS)、預(yù)掃描等。

(1)拒絕服務(wù)攻擊 (DOS)

拒絕服務(wù)攻擊往往是針對(duì)TCP/IP協(xié)議中的弱點(diǎn)或者系統(tǒng)存在的某些漏洞，使用非正常的數(shù)據(jù)流大量攻擊網(wǎng)絡(luò)設(shè)備，致使網(wǎng)絡(luò)設(shè)備性能下降、網(wǎng)絡(luò)阻塞，最終導(dǎo)致攻擊目標(biāo)無法向合法的用戶提供正常的服務(wù)。常用的拒絕服務(wù)攻擊有:DDoS,ping of death,SYN flood,UDP flood等。

例如使用如下SQL語句，可以找出內(nèi)網(wǎng)中對(duì)DNS服務(wù)器進(jìn)行DOS攻擊的主機(jī)IP。

select count(*),srcipaddress,dstp from netflow where dstp=53 and p=17 group by srcipaddress order by 1 desc limit 10;輸入上述命令后可以看到主機(jī)明顯異常的IP地址，短時(shí)間內(nèi)對(duì)DNS服務(wù)器發(fā)送了大量的請(qǐng)求。

分布式拒絕服務(wù)(DDoS)是一種分布、協(xié)作的大規(guī)模攻擊方式，攻擊借助于客戶/服務(wù)器技術(shù)，將多個(gè)主機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DOS攻擊，成倍地提高拒絕服務(wù)攻擊的威力，從而導(dǎo)致目標(biāo)迅速癱瘓。通過分析得到的流信息，如果在很短的時(shí)間內(nèi)，有大量不同源IP朝同一目的IP大量發(fā)包，就意味著DDoS攻擊存在。

例如使用如下SQL語句，可以發(fā)現(xiàn)內(nèi)網(wǎng)是否有DDoS正在進(jìn)行攻擊。

select count(*),dstipaddress,pkts from netflow group by dstipaddress order by 1 desc limit 10;查詢后可以看到目標(biāo)地址107.183.47.242在短期內(nèi)被大量的不同內(nèi)網(wǎng)主機(jī)連接，有可能該主機(jī)正被DDoS攻擊。

(2)未知攻擊

有些病毒或攻擊雖然不像DOS、DDoS攻擊那么明顯異常，但也有其特殊的異常特征，如有些攻擊在發(fā)起前會(huì)進(jìn)行掃描探測，掃描探測過程中會(huì)想辦法隱藏自己真實(shí)IP地址，如果發(fā)現(xiàn)某網(wǎng)段存在這種刻意隱藏自己IP地址的行為，即可判定該網(wǎng)段隱藏有惡意攻擊主機(jī)。比如我們?cè)诓檎壹t色代碼病毒之時(shí)，意外發(fā)現(xiàn)在192.168.157.0網(wǎng)段有主機(jī)從192.168.157.6到192.168.157.254,有規(guī)律的改變?cè)碔P地址向外連接。此種行為有可能是紅色代碼病毒變種或其它新的未知病毒或攻擊造成。

3.異常處理

當(dāng)發(fā)現(xiàn)異常流量之時(shí)，為了控制異常流量對(duì)整網(wǎng)的進(jìn)一步干擾，可采取以下兩種方法對(duì)異常流量進(jìn)行阻斷處理：

方法一：直接切斷連接

當(dāng)確定異常流量源地址且該源地址接入交換機(jī)可控情況下，可遠(yuǎn)程登錄到該交換機(jī)，通過關(guān)閉異常流量連接的交換機(jī)端口直接切斷異常流量。

方法二：過濾

當(dāng)不能準(zhǔn)確定位異常流量所連接的交換機(jī)端口時(shí)，可在核心交換或路由設(shè)備上采用ACL過濾的方法，靈活實(shí)現(xiàn)針對(duì)源目的IP地址、協(xié)議類型、端口號(hào)等各種形式的過濾。

四、構(gòu)建WEB監(jiān)測

因?yàn)镹etFlow表達(dá)的流量信息非常豐富，利用其基本的七元組信息，不但可以實(shí)現(xiàn)上述的異常流量發(fā)現(xiàn)，還可以實(shí)現(xiàn)整網(wǎng)流量實(shí)時(shí)分析統(tǒng)計(jì)，如統(tǒng)計(jì)整網(wǎng)中各種協(xié)議所占比例、某段時(shí)間每個(gè)IP地址流入或流出流量多少等。異常流量實(shí)際就隱藏在整網(wǎng)流量之中，因此，通過WEB利用存入MySQL中的NetFlow信息構(gòu)建整網(wǎng)流量監(jiān)測系統(tǒng)，不但可以直觀的將整網(wǎng)流量統(tǒng)計(jì)信息以圖形方式顯示出來，同時(shí)，通過觀察整網(wǎng)流量統(tǒng)計(jì)信息，也可以發(fā)現(xiàn)其中隱藏的異常流量。通過我們WEB實(shí)現(xiàn)了以下幾項(xiàng)重要功能：

功能一：某一時(shí)段整網(wǎng)流量流入、流出排名統(tǒng)計(jì)。比如對(duì)整網(wǎng)最后一小時(shí)收集的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，查詢的前十名IP流入流量總和，及其所占整網(wǎng)總流量的比例，可以發(fā)現(xiàn)某IP流入的流量最高，依此可以判斷該IP有可能在進(jìn)行P2P的下載，如果該IP經(jīng)常這樣大比例占用整網(wǎng)流量，就會(huì)對(duì)其進(jìn)行帶寬限制。如果查詢的是流出流量，當(dāng)內(nèi)網(wǎng)某IP流出流量過大時(shí)，就要考慮該IP是否感染病毒了。

功能二：某一時(shí)段整網(wǎng)各協(xié)議流入、流出排名統(tǒng)計(jì)。

功能三：某一時(shí)段分區(qū)域(分成學(xué)生區(qū)、教工區(qū)、服務(wù)器區(qū))流量與協(xié)議流入、流出排名統(tǒng)計(jì)。

功能四：某一時(shí)段各IP地址流入、流出會(huì)話顯示。

五、結(jié)語

本文基于NetFlow設(shè)計(jì)并開發(fā)了一套網(wǎng)絡(luò)監(jiān)測系統(tǒng)，該系統(tǒng)通用性好，可擴(kuò)展性強(qiáng)，使用簡捷、直觀、方便, 實(shí)驗(yàn)證明該系統(tǒng)能很好地對(duì)管轄范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行有效監(jiān)控，給網(wǎng)管人員提供豐富的決策依據(jù)。通過實(shí)時(shí)的統(tǒng)計(jì)信息，網(wǎng)管人員不但可以對(duì)校園網(wǎng)絡(luò)運(yùn)行情況有基本的了解，同時(shí)還可以找到病毒、蠕蟲和網(wǎng)絡(luò)攻擊等網(wǎng)絡(luò)異常行為的源頭，給網(wǎng)管人員采取有效措施阻斷這些異常流量提供依據(jù)，從而為校園網(wǎng)絡(luò)穩(wěn)定運(yùn)行提供保證。

參考文獻(xiàn)：

[1]肖志新，楊岳湘，楊霖.一個(gè)基于NetFlow的異常流量檢測與防護(hù)系統(tǒng)[J].微電子學(xué)與計(jì)算機(jī),2006，23(5).

[2] 周韶澤，邵力耕.高速網(wǎng)絡(luò)環(huán)境下基于NetFlow的網(wǎng)絡(luò)監(jiān)測系統(tǒng)設(shè)計(jì)[J].大連鐵道學(xué)院學(xué)報(bào),2005,26(2).

[3] 曹錫宇，張德民.基于NetFlow的IDS研究與應(yīng)用[J].通信市場,2005,(5).

中圖分類號(hào)：TP391.2

文獻(xiàn)標(biāo)識(shí)碼：A

基金項(xiàng)目：安徽財(cái)經(jīng)大學(xué)教育事業(yè)發(fā)展研究項(xiàng)目(2016JFYBE12)與安徽財(cái)經(jīng)大學(xué)教學(xué)研究項(xiàng)目(acjyyb2015013)研究成果

*收稿日期：2015-12-01

文章編號(hào)：2095-4654(2016)02-0009-03