|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體����,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計(jì)算機(jī)、存儲資源�����、數(shù)據(jù)資源�����、信息資源�、知識資源、專家資源����、大型數(shù)據(jù)庫�、網(wǎng)絡(luò)、傳感器等�。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段�。 四、利用NetFlow工具處理防范網(wǎng)絡(luò)異常流量
從某種程度上來講��,互聯(lián)網(wǎng)異常流量永遠(yuǎn)不會消失而且從技術(shù)上目前沒有根本的解決辦法��,但對網(wǎng)管人員來說,可以利用許多技術(shù)手段分析異常流量�����,減小異常流量發(fā)生時帶來的影響和損失����,以下是處理網(wǎng)絡(luò)異常流量時可以采用的一些方法及工具:
1. 判斷異常流量流向
因?yàn)槟壳岸鄶?shù)網(wǎng)絡(luò)設(shè)備只提供物理端口入流量的NetFlow數(shù)據(jù),所以采集異常流量NetFlow數(shù)據(jù)之前����,首先要判斷異常流量的流向,進(jìn)而選擇合適的物理端口去采集數(shù)據(jù)�。
流量監(jiān)控管理軟件是判斷異常流量流向的有效工具,通過流量大小變化的監(jiān)控��,可以幫助我們發(fā)現(xiàn)異常流量��,特別是大流量異常流量的流向,從而進(jìn)一步查找異常流量的源����、目的地址。
目前最常用的流量監(jiān)控工具是免費(fèi)軟件MRTG���,下圖為利用MRTG監(jiān)測到的網(wǎng)絡(luò)異常流量實(shí)例�����,可以看出被監(jiān)測設(shè)備端口在當(dāng)天4:00至9:30之間產(chǎn)生了幾十Mbps的異常流量�,造成了該端口的擁塞(峰值流量被拉平)�����。
如果能夠?qū)⒘髁勘O(jiān)測部署到全網(wǎng)�����,這樣在類似異常流量發(fā)生時��,就能迅速找到異常流量的源或目標(biāo)接入設(shè)備端口����,便于快速定位異常流量流向。
有些異常流量發(fā)生時并不體現(xiàn)為大流量的產(chǎn)生����,這種情況下���,我們也可以綜合異常流量發(fā)生時的其它現(xiàn)象判斷其流向��,如設(shè)備端口的包轉(zhuǎn)發(fā)速率�、網(wǎng)絡(luò)時延、丟包率�����、網(wǎng)絡(luò)設(shè)備的CPU利用率變化等因素���。
2. 采集分析NetFlow數(shù)據(jù)
判斷異常流量的流向后�,就可以選擇合適的網(wǎng)絡(luò)設(shè)備端口��,實(shí)施Neflow配置���,采集該端口入流量的NetFlow數(shù)據(jù)�����。
以下是在Cisco GSR路由器GigabitEthernet10/0端口上打開NetFlow的配置實(shí)例:
ip flow-export source Loopback0
ip flow-export destination *.*.*.61 9995
ip flow-sampling-mode packet-interval 100
interface GigabitEthernet10/0
ip route-cache flow sampled
通過該配置把流入到GigabitEthernet10/0的NetFlow數(shù)據(jù)送到NetFlow采集器*.*.*.61,該實(shí)例中采用sampled模式�����,采樣間隔為100:1�����。
3. 處理異常流量的方法
(1)切斷連接
在能夠確定異常流量源地址且該源地址設(shè)備可控的情況下����,切斷異常流量源設(shè)備的物理連接是最直接的解決辦法。
(2)過濾
采用ACL(Access Control List)過濾能夠靈活實(shí)現(xiàn)針對源目的IP地址�����、協(xié)議類型���、端口號等各種形式的過濾�,但同時也存在消耗網(wǎng)絡(luò)設(shè)備系統(tǒng)資源的副作用�,下例為利用ACL過濾UDP 1434端口的實(shí)例:
access-list 101 deny udp any any eq 1434
access-list 101 permit ip any any
此過濾針對蠕蟲王病毒(SQL Slammer),但同時也過濾了針對SQL Server的正常訪問����,如果要保證對SQL Server的正常訪問,還可以根據(jù)病毒流數(shù)據(jù)包的大小特征實(shí)施更細(xì)化的過濾策略(本文略)�����。
(3)靜態(tài)空路由過濾
能確定異常流量目標(biāo)地址的情況下,可以用靜態(tài)路由把異常流量的目標(biāo)地址指向空(Null)���,這種過濾幾乎不消耗路由器系統(tǒng)資源����,但同時也過濾了對目標(biāo)地址的正常訪問�����,配置實(shí)例如下:
ip route 205.*.*.2 255.255.255.255 Null 0
對于多路由器的網(wǎng)絡(luò)�����,還需增加相關(guān)動態(tài)路由配置����,保證過濾在全網(wǎng)生效。
(4)異常流量限定
利用路由器CAR功能��,可以將異常流量限定在一定的范圍��,這種過濾也存在消耗路由器系統(tǒng)資源的副作用���,以下為利用CAR限制UDP 1434端口流量的配置實(shí)例:
Router# (config) access-list 150 deny udp any any eq 1434
Router# (config) access-list 150 permit ip any any
Router# (config) interface fastEthernet 0/0
Router# (config-if) rate-limit input access-group rate-limit 150 8000 1500 20000
conform-action drop exceed-action drop
此配置限定UDP 1434端口的流量為8Kbps���。
網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此����,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上�、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時應(yīng)勢��,對應(yīng)發(fā)展����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
| 
