利用Netflow在大规模网络 进行蠕虫和网络异常行为监测
yiming@
宫一鸣
中盈优创资讯系统有限责任公司
July 2004


提纲
电信网安全特性 netflow? Netflow和电信带宽安全
如何预警和监控
中盈 netflow在电信的应用


电信网的安全特性
电信网核心竞争力
带宽资源
带宽资源面临
蠕虫 网络滥用 DoS/DDoS


电信网的安全特性
如何保护和监控
防火墙 ？ 部署问题，侧重于点而非面 IDS ？ IDS工作在7层，海量数据 需要详细的信息？


电信网的安全特性
如何保护和监控
Netflow Passive monitoring No device Traffic profile! Arbor/NTG/flow-scan…. CERT SiLK while traffic summaries do not provide packet-by-packet (in particular, payload) information, they are also considerably more compact and consequently can be used to acquire a wider view of network traffic problems.


Netflow是?
Flow是由7个关键字段标识的两个通讯终端间单方向的网 络连接[IPsrc, IPdst, srcPort, dstPort, protocol, TOS, Ifindex] 一次telnet~~


Netflow是?
每当路由器端口上收到一个数据包，都会扫描这7个字段 来判断此数据包是否属于一个已经存在的flow: YES, FLOW COUNTED NO， NEW FLOW CREATED 在新的flow不断生成的同时,cache内过期的flow记录以 UDP方式导出


Netflow 版本
主流的路由器厂家Cisco、Juniper、Extreme 路由设备上支持并在研 发自己版本的 netflow 技术 版本五的netflow输出（V5）是最常见的，并被广泛支持。

对V5版本而言，每个从路由器上送到接收主机的UDP报文中包含1个 flow包头和30条flow纪录 每个flow纪录都包含如下的主要字段：源地址、目的地址、下一跳地 址、路由器输入输出ifindex、flow中的数据包数、flow中的总字节 大小、源地址目的端口、协议类型、ToS、源和目的AS号，TCP标志位 (Cumulative OR of TCP flags)。

一条flow记录样本
index: 0xc1a11 router: 202.102.224.1 src IP: 218.30.254.55 dst IP: 202.102.224.136 input ifIndex: 8 output ifIndex: 22 src port: 12052 dst port: 80 pkts: 6 bytes: 680 IP nexthop: 202.102.224.130 start time: Mon Jun 21 11:29:22 2004 end time: Mon Jun 21 11:29:25 2002 protocol: 6 tos: 0x0 src AS: 0 dst AS: 371 src masklen: 20 dst masklen: 0 TCP flags: 0x1b engine type: 1 engine id: 0


Netflow工作架构
结果输出
Netflow 源设备
Flow 收集器
Flow 分析器
统计查询


Netflow和电信带宽安全 如何利用netflow预警和监控
我们提出如下方法：
Top N
模式匹配
TCP 标志位
ICMP
基线
TopN模式
取flow记录中排名前N位
TopN session
单个主机对单个或多个目标主机发出超出正常数量的连接请求 大规模蠕虫爆发、DoS/DDoS攻击、网络滥用
TopN transfer data amount
在一个时间段内，在两个网络主机间、或单个主机对多个目标主机间持续产生了的大量数据
蠕虫，DoS/DDoS
实现
模式匹配
每一种攻击通常有特定模式，因此可以过滤netflow分析 端口匹配
sql slammer的攻击是针对UDP端口1434端口的，那么管理员
就可以在netflow输出文件中的flow记录中过滤出目的端口地址
等于1434
地址匹配
W32/Netsky.c 蠕虫发作时会向如下dns主机发出解析请求：
145.253.2.171,151.189.13.35,193.141.40.42,193.189.244.20
5,193.193.144.12,193.193.158.10,194.25.2.129等等
实现
TCP 标志位
三次握手
hosta首先发起一个SYN 标志位的TCP报文给hostb hostb反馈SYN/ACK ，确认收到
hosta主机确认(ACK)hostb的SYN/ACK报文
连接建立
如果hosta连接hostb的非服务端口，hostb会回送RST/ACK报文。

TCP标志位
从V5 netflow角度看
注意每一条flow的TCP标志位都是单向流量
TCP flags合集－cumulative OR
对正常建立连接的TCP来说，TCP标志位是不单一的，
e.g. ACK/SYN/FIN
对于蠕虫，或者基于TCP SYN的DoS攻击来讲，情况有所不同
TCP标志位
蠕虫的特性
自我复制
->发作期内扫描大量的IP地址来寻找目标
->通常目标主机的地址是蠕虫随机生成
如果基于TCP传播（大部分）
发出大量的TCP SYN报文进行相应服务的漏洞探测
TCP标志位 蠕虫探测的三种情况
被扫描的目标存活且提供相应服务 目标不存活的
目标存活但没有提供相应服务
TCP标志位
检测蠕虫和DoS
感染蠕虫<-->大量的单一TCP SYN标志位flow记录 通过检查最为活跃的目标端口，进行行为判断
TCP标志位 更多的
TCP RST
…
ICMP
模式匹配
以ICMP进行传播探测或攻击的
W32/Nicha.Worm蠕虫，定长的92byte ICMP报文,
过滤flow记录中的flow字节大小，定位感染主机
SMURF…
基线
基于历史和统计数据
建模
域值
直观
中盈netflow在电信的应用 支持北方电信9省骨干
安全事件诊断
-->安全应急响应
流量分析
中盈netflow在电信的应用 追查垃圾邮件
过滤25端口的flow记录
# IPaddr flows octets packets
219.147.208.2 144 11192 144
61.223.156.154 1 1491 1
218.244.196.28 1 40 1
218.246.189.34 1 41 1
69.56.49.220 1 80 1
219.147.200.189 1 80 1
中盈netflow在电信的应用
61.236.123.225感染了
w32.gaobot.sa蠕虫，在扫描
MYDoom后门端口3127，Bagle 后门端口2745，以及
Dameware端口6129
219.150.98.151感染了
w32.hllw.deadhat蠕虫，在扫
描TCP端口3127, 3128, 1080,
10080
211.157.101.25可能在crack口令或者扫描弱口令ftp服务器 below is potential host1: 61.236.123.225 ------
84 times on port 1025
76 times on port 80
72 times on port 2745
64 times on port 3127
48 times on port 6129
below is potential host2: 219.150.98.151 ------
164 times on port 3127
28 times on port 80
20 times on port 10080
16 times on port 3128
8 times on port 1080
below is potential host7: 211.157.101.25 ------
77 times on port 21
1 times on port 1427
电信骨干网安全 电信网large scale / high speed
不能单纯依靠产品或某项技术
全面解决方案?
动态持续
Q & A ?。