异常流量检测技术与功能介绍

2011.2

异常流量检测与分析

CNCERT/CC总结近年网络攻击特点1.攻击组织严密化。网络黑客逐步形成了较为严密的组织，并在组织内部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按照计划有组织的进行，致使网络攻击的效率有明显的提高。2.攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争对手的攻击和用于窃取用户帐号、密码等敏感数据的网络攻击逐步增多，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越来越多地落在获取具体的经济利益上。3.攻击目标直接化。网络黑客针对攻击目标的特点，设计特定的攻击代码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对于目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更大的威胁和破坏性。ChinaNET网络中DDOS攻击特点（1）ChinaNET网络中DDOS攻击情况ChinaNET网络中存在大量的DDOS攻击大部分攻击为各省网间的攻击从8月1日到8月8日，系统记录共1218个IP地址受到不同程度、不同频度的攻击很多DDOS攻击已经达到较大的规模，很多DDOS攻击的峰值流量达到400－500Mbps，最大的攻击流量达到10Gbps攻击来源主要来自电信各地IDC的服务器大量的IDC服务器被黑客控制IDC服务器的特点拥有良好的网络资源长期在线缺乏维护和安全防护ChinaNET网络中DDOS攻击特点（2）DDOS攻击的行为分析专业的黑客行为攻击的目的为敲诈或受竞争对手雇佣DDOS攻击对网络的影响占用大量网络带宽，包括国际、互联互通等网络带宽攻击一旦针对网络设备，后果将非常严重DDOS攻击对用户的影响DDOS攻击严重占用了用户的带宽DDOS攻击造成用户服务器瘫痪，无法在攻击发生时提供服务DDOS攻击对用户的互联网业务开展造成了很大的影响用户目前大多没有防范攻击的能力和手段各省网入方向DDOS攻击排名*统计时间：8月1日－8月8日各省网入方向DDOS攻击排名*统计时间：8月1日－8月8日各省网出方向DDOS攻击排名*统计时间：8月1日－8月8日各省网出方向DDOS攻击排名*统计时间：8月1日－8月8日异常流量攻击地址TOP10情况统计本次统计到的4902次异常流量攻击，共分布在1218个目标IP地址上。所有被攻击地址按攻击次数排名的TOP10情况如下表（其中最严重的攻击目标为sina）：*统计时间：8月1日－8月8日系统能力具备发现网络中各种DDOS攻击的能力具备防范网络中各种DDOS攻击的能力防范针对北京电信网络和系统的DDOS攻击为大客户提供DDOS防范服务为市场人员提供潜在用户的信息Netflow技术介绍Cisco提出的基于路由器的流量分析技术目前路由器支持的唯一流量分析方式支持的厂家Cisco/Juniper/Foundry/Alcatel/华为等IETF标准IPFIX(InternetProtocolFlowInformationeXport)RFC3917RFC3955分析内容IP地址/协议类型/应用/端口/包长Tcpflag/ASN/TOS…Netflow与SNMP技术的对比Netflow与串接/分光系统对比Netflow1－4层流量分析没有端口速率限制不影响网络的运行分析流量大准确性差（抽样、假冒）分析的结果有限汇聚层/核心层在核心网络部属成本低正在标准化，不断发展串接/分光1－7层流量分析固定端口类型，通常GE影响网络运行和性能性能有限准确性高分析内容完善接入层/关键业务网段在核心网络部属成本高将会被下一代路由器取代异常流量检测系统功能异常流量检测异常流量告警异常流量分析异常流量防范异常流量记录异常流量检测能够针对网络流量的目标地址按照异常流量的特点进行检测，从网络中的流量中检测出异常流量能够检测网络中常见的DDOS攻击，包括：TCPSYN、ICMP、TCPRST、Fragment、IPPrivate、IPNULL、TCPNULL对于系统未知的其它DDOS攻击，系统能够通过IP地址、端口、应用、TCPFlag、ICMPTYPE等流量特征等进行定义，并产生Fingerprint（指纹）。系统能够将Fingerprint下发到系统内的所有采集器，并由采集器根据Fingerprint的定义对网络中的异常流量进行分析和检测能够将从城域网中多个节点进入城域网的针对同一目的地址的DDOS攻击进行统一的关联检测异常流量告警系统应能设置告警的阀值，包括告警的触发时间、触发门限等，只有满足条件的的异常流量才会产生报警。系统能够针对不同的告警类型和系统监控的不同对象定义不同的阀值系统能够判断异常流量的类型、严重程度、流量和攻击目标IP在系统中直观地用醒目的颜色（不同的风险等级用不同的颜色）进行告警系统应能对城域网大客户的流量进行分析和告警，并能够针对每个用户设置不同的阀值告警信息的内容包括异常流量告警ID、告警开始时间、持续时间、严重程度、告警类型、异常流量源IP地址及属地、异常流量目的IP地址及属地、异常流量速率（BPS/PPS）、异常流量经过的路由器端口等信息系统能够通过SNMPTRAP、syslog、Email等方式将告警信息通知网管人员异常流量分析系统能判断异常流量的类型系统能判断异常流量的来源和目的系统能记录异常流量途径各网络设备的端口情况系统能记录异常流量的速率和流量变化情况系统能记录异常流量的包特征（包长、TCPFlag等）系统能记录异常流量的起始和结束时间系统能进行关联分析异常流量过滤访问控制列表（ACL）带宽限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification（Juniper）与流量过滤设备配合，对流量进行智能过滤蠕虫流量分析用户可以根据蠕虫病毒的特征和变化定义多种蠕虫病毒系统能分析各种蠕虫病毒的总体情况系统能发现感染每种蠕虫病毒的IP地址系统能发现蠕虫病毒经各网络设备的转发情况和对网络资源的占用情况系统能发现每个大客户感染蠕虫病毒的情况历史告警查询功能查询类别告警ID严重程度持续时间开始时间/结束时间告警类型地址段路由器/Peer/Customer/Profile方向历史告警的管理大客户异常流量分析系统能对大客户的异常流量进行告警、分析和记录系统能对设置大客户的异常流量告警阀值系统能查询大客户的异常流量历史统计情况系统能监控大客户感染蠕虫病毒的情况系统能对针对大客户的异常流量进行防范Fingerprint（指纹）技术Fingerprint特点用FCAP语句定义Fingerprint对符合Fingerprint特征的流量进行过滤和告警适应网络中不断发生的新病毒和攻击Fingerprint添加系统可根据捕捉到的DDOS攻击或病毒信息自动生成fingerprint可通过网管人员的经验来手工添加病毒信息同步全球FingerprintServer根据ATF自动生成系统状态流量分析设备运行情况各台设备的CPU/Memory/Disk/Flow/SerialNumber路由器情况路由器CPU/Memory/Flow路由器端口情况端口描述/端口类型/端口流量（SNMP）系统日志Netflow/SNMP结果对比系统其它功能路由器端口自动分类数据备份/数据恢复配置备份/回退/保存Radius/Tacacs+认证SNMPTrap/syslog/Email告警通知32种用户管理权限自由组合字典功能（应用/AS/TOS）在线帮助城域网内DDOS攻击特点和分类攻击分类：城域网内发起的针对城域网外的DDoS攻击城域网外发起的针对城域网用户的DDoS攻击防御策略出城域网异常流量防御策略入城域网异常流量防御策略出城域网异常流量防御策略访问控制列表（ACL）带宽限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification入城域网异常流量防御策略过滤异常流量的同时保障正常业务及时对异常流量进行检测和过滤异常流量检测系统和异常流量过滤系统的配合流程由异常流量检测系统实时的对全网流量进行监测异常流量检测系统一旦发现异常流量事件，准确的对该异常流量进行定位，用户可选择使用智能流量过滤系统进行过滤异常流量监测系统触发智能流量过滤系统的保护机制智能流量过滤系统根据预先设定保护机制，向目标路由器发送流量转移路由策略，将该异常流量引至智能流量过滤系统之中智能流量过滤系统智能对引入的流量进行分析与识别，智能过滤所有攻击或病毒流量过滤后的干净流量从智能流量过滤系统出来，继续对目标网络进行正常访问系统阀值序号名称触发阀值严重阀值1TCPSYN10Kpps20Kpps2TCPRST5Kpps10Kpps3IPPrivate5Kpps10Kpps4ICMP5Kpps10Kpps5TCPNULL1Kpps2Kpps6IPNULL1Kpps2Kpps7Fragement1Kpps2Kpps告警时延：2分钟城域网入方向攻击统计高级报警中级告警初级告警TCPSYN42616TCPRST141031IPPRIVATE16112FRAGMENT525ICMP323TCPNULL100IPNULL000*统计时间：7月4日－7月8日城域网出方向攻击统计高级报警中级告警初级告警TCPSYN431428TCPRST3112IPPRIVATE000FRAGMENT434ICMP128TCPNULL001IPNULL004*统计时间：7月4日－7月8日城域网发起去其它运营商攻击统计（一）高级报警中级告警初级告警广东22320浙江12312江苏8214湖南7210安徽1510上海433重庆1010福建205*统计时间：7月2日－7月8日城域网发起去其它运营商攻击统计（二）高级报警中级告警初级告警四川300江西200黑龙江200新疆201山东102湖北011陕西011海南002*统计时间：7月2日－7月8日城域网发起去其它运营商攻击统计（三）高级报警中级告警初级告警甘肃001云南001网通101联通100*统计时间：7月2日－7月8日DDOS攻击时长统计攻击持续时间数量比率10分钟以上15734%30分钟以上6815%1小时以上378%2小时以上174%5小时以上82%12小时以上51%24小时以上30.6%全部攻击468DDOS攻击严重程度统计>2.5倍>5倍>10倍TCPSYN763311TCPRST211IPPRIVATE972FRAGMENT631ICMP443TCPNULL111IPNULL000DDOS攻击统计分析DDOS攻击类型TCPSYN攻击占全部攻击的50％左右严重攻击的类型主要为TCPSYN和ICMP攻击DDOS攻击方向入城域网DDOS攻击的数量和流量远大于出城域网DDOS攻击入城域网的DDOS攻击对用户和网络的危害较大，最严重的攻击流量峰值速率超过600Mbps出城域网的攻击流量不大（峰值速率一般不超过50Mbps）DDOS攻击持续时间DDOS攻击的持续时间通常在1小时之内，很多攻击的持续时间只有几分钟DDOS攻击数量城域网中存在大量的DDOS攻击每天的DDOS攻击数量在50－100个城域网DDOS攻击情况总结（1）网络异常流量现状网络中存在大量的DDOS攻击入网DDOS攻击远多于出网DDOS攻击主要的DDOS攻击类型为TCPSYN攻击峰值大于100Mbps（约250Kpps）的大规模DDOS攻击大量存在异常流量的危害通过攻击和大量占用带宽造成对攻击目标的影响大量垃圾流量占用网络带宽，可能拥塞网络一旦攻击针对网络设备，可能导致网络瘫痪城域网DDOS攻击情况总结（2）异常流量监测通过ArborPeakflowSPIS能够及时、准确地发现网络中的各种DDOS攻击能够发现攻击进入城域网的源头，并对攻击进行记录和分析通过阀值可以调整对DDOS攻击监控的粒度攻击防范的困难攻击持续时间短（快速告警、快速响应）必须在过滤异常流量的情况下保护正常流量攻击防范建议建立完善的异常流量告警、过滤系统建立完善的异常流量快速处理流程和管理制度针对入、出城域网异常流量采用不同处理方式异常流量系统的告警与网管系统的告警模块相结合加强对攻击源的处理和打击，减少异常流量发生的可能集中管理分布部署架构架构与流程：1.路由器发送Flow到流量采集器（橙色线条）2.采集器收集流量信息3.采集器将流量信息汇聚发送到分析控制器（蓝色线条）4.分析控制器进行分析管理操作流量分析与异常流量检测系统操作在浏览器中输入系统IP地址进行登录异常流量告警在状态>汇总信息中可查看当前正