異常流量檢測技術與功能介紹

2011.2

異常流量檢測與分析

CNCERT/CC總結近年網絡攻擊特點1.攻擊組織嚴密化。網絡黑客逐步形成了較為嚴密的組織，并在組織內部有明確的分工，從惡意代碼的制作，惡意代碼的散布到最終敏感信息的竊取都有專人來負責。不同組織之間既有競爭也有合作，網絡攻擊按照計劃有組織的進行，致使網絡攻擊的效率有明顯的提高。2.攻擊行為趨利化。網絡黑客發(fā)動攻擊的目的從最開始的技術炫耀轉向獲得經濟利益，網絡攻擊的針對性和定向性進一步加強，針對商業(yè)競爭對手的攻擊和用于竊取用戶帳號、密碼等敏感數據的網絡攻擊逐步增多，隨著網絡行為同社會行為聯系的進一步密切，網絡攻擊的最終目的越來越多地落在獲取具體的經濟利益上。3.攻擊目標直接化。網絡黑客針對攻擊目標的特點，設計特定的攻擊代碼，繞過網絡防御體系入侵有價值的目標主機，或者通過僵尸網絡對于目標發(fā)起直接的大規(guī)模網絡攻擊，使得針對特定目標的網絡攻擊具有更大的威脅和破壞性。ChinaNET網絡中DDOS攻擊特點（1）ChinaNET網絡中DDOS攻擊情況ChinaNET網絡中存在大量的DDOS攻擊大部分攻擊為各省網間的攻擊從8月1日到8月8日，系統(tǒng)記錄共1218個IP地址受到不同程度、不同頻度的攻擊很多DDOS攻擊已經達到較大的規(guī)模，很多DDOS攻擊的峰值流量達到400－500Mbps，最大的攻擊流量達到10Gbps攻擊來源主要來自電信各地IDC的服務器大量的IDC服務器被黑客控制IDC服務器的特點擁有良好的網絡資源長期在線缺乏維護和安全防護ChinaNET網絡中DDOS攻擊特點（2）DDOS攻擊的行為分析專業(yè)的黑客行為攻擊的目的為敲詐或受競爭對手雇傭DDOS攻擊對網絡的影響占用大量網絡帶寬，包括國際、互聯互通等網絡帶寬攻擊一旦針對網絡設備，后果將非常嚴重DDOS攻擊對用戶的影響DDOS攻擊嚴重占用了用戶的帶寬DDOS攻擊造成用戶服務器癱瘓，無法在攻擊發(fā)生時提供服務DDOS攻擊對用戶的互聯網業(yè)務開展造成了很大的影響用戶目前大多沒有防范攻擊的能力和手段各省網入方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網入方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網出方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日各省網出方向DDOS攻擊排名*統(tǒng)計時間：8月1日－8月8日異常流量攻擊地址TOP10情況統(tǒng)計本次統(tǒng)計到的4902次異常流量攻擊，共分布在1218個目標IP地址上。所有被攻擊地址按攻擊次數排名的TOP10情況如下表（其中最嚴重的攻擊目標為sina）：*統(tǒng)計時間：8月1日－8月8日系統(tǒng)能力具備發(fā)現網絡中各種DDOS攻擊的能力具備防范網絡中各種DDOS攻擊的能力防范針對北京電信網絡和系統(tǒng)的DDOS攻擊為大客戶提供DDOS防范服務為市場人員提供潛在用戶的信息Netflow技術介紹Cisco提出的基于路由器的流量分析技術目前路由器支持的唯一流量分析方式支持的廠家Cisco/Juniper/Foundry/Alcatel/華為等IETF標準IPFIX(InternetProtocolFlowInformationeXport)RFC3917RFC3955分析內容IP地址/協議類型/應用/端口/包長Tcpflag/ASN/TOS…Netflow與SNMP技術的對比Netflow與串接/分光系統(tǒng)對比Netflow1－4層流量分析沒有端口速率限制不影響網絡的運行分析流量大準確性差（抽樣、假冒）分析的結果有限匯聚層/核心層在核心網絡部屬成本低正在標準化，不斷發(fā)展串接/分光1－7層流量分析固定端口類型，通常GE影響網絡運行和性能性能有限準確性高分析內容完善接入層/關鍵業(yè)務網段在核心網絡部屬成本高將會被下一代路由器取代異常流量檢測系統(tǒng)功能異常流量檢測異常流量告警異常流量分析異常流量防范異常流量記錄異常流量檢測能夠針對網絡流量的目標地址按照異常流量的特點進行檢測，從網絡中的流量中檢測出異常流量能夠檢測網絡中常見的DDOS攻擊，包括：TCPSYN、ICMP、TCPRST、Fragment、IPPrivate、IPNULL、TCPNULL對于系統(tǒng)未知的其它DDOS攻擊，系統(tǒng)能夠通過IP地址、端口、應用、TCPFlag、ICMPTYPE等流量特征等進行定義，并產生Fingerprint（指紋）。系統(tǒng)能夠將Fingerprint下發(fā)到系統(tǒng)內的所有采集器，并由采集器根據Fingerprint的定義對網絡中的異常流量進行分析和檢測能夠將從城域網中多個節(jié)點進入城域網的針對同一目的地址的DDOS攻擊進行統(tǒng)一的關聯檢測異常流量告警系統(tǒng)應能設置告警的閥值，包括告警的觸發(fā)時間、觸發(fā)門限等，只有滿足條件的的異常流量才會產生報警。系統(tǒng)能夠針對不同的告警類型和系統(tǒng)監(jiān)控的不同對象定義不同的閥值系統(tǒng)能夠判斷異常流量的類型、嚴重程度、流量和攻擊目標IP在系統(tǒng)中直觀地用醒目的顏色（不同的風險等級用不同的顏色）進行告警系統(tǒng)應能對城域網大客戶的流量進行分析和告警，并能夠針對每個用戶設置不同的閥值告警信息的內容包括異常流量告警ID、告警開始時間、持續(xù)時間、嚴重程度、告警類型、異常流量源IP地址及屬地、異常流量目的IP地址及屬地、異常流量速率（BPS/PPS）、異常流量經過的路由器端口等信息系統(tǒng)能夠通過SNMPTRAP、syslog、Email等方式將告警信息通知網管人員異常流量分析系統(tǒng)能判斷異常流量的類型系統(tǒng)能判斷異常流量的來源和目的系統(tǒng)能記錄異常流量途徑各網絡設備的端口情況系統(tǒng)能記錄異常流量的速率和流量變化情況系統(tǒng)能記錄異常流量的包特征（包長、TCPFlag等）系統(tǒng)能記錄異常流量的起始和結束時間系統(tǒng)能進行關聯分析異常流量過濾訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification（Juniper）與流量過濾設備配合，對流量進行智能過濾蠕蟲流量分析用戶可以根據蠕蟲病毒的特征和變化定義多種蠕蟲病毒系統(tǒng)能分析各種蠕蟲病毒的總體情況系統(tǒng)能發(fā)現感染每種蠕蟲病毒的IP地址系統(tǒng)能發(fā)現蠕蟲病毒經各網絡設備的轉發(fā)情況和對網絡資源的占用情況系統(tǒng)能發(fā)現每個大客戶感染蠕蟲病毒的情況歷史告警查詢功能查詢類別告警ID嚴重程度持續(xù)時間開始時間/結束時間告警類型地址段路由器/Peer/Customer/Profile方向歷史告警的管理大客戶異常流量分析系統(tǒng)能對大客戶的異常流量進行告警、分析和記錄系統(tǒng)能對設置大客戶的異常流量告警閥值系統(tǒng)能查詢大客戶的異常流量歷史統(tǒng)計情況系統(tǒng)能監(jiān)控大客戶感染蠕蟲病毒的情況系統(tǒng)能對針對大客戶的異常流量進行防范Fingerprint（指紋）技術Fingerprint特點用FCAP語句定義Fingerprint對符合Fingerprint特征的流量進行過濾和告警適應網絡中不斷發(fā)生的新病毒和攻擊Fingerprint添加系統(tǒng)可根據捕捉到的DDOS攻擊或病毒信息自動生成fingerprint可通過網管人員的經驗來手工添加病毒信息同步全球FingerprintServer根據ATF自動生成系統(tǒng)狀態(tài)流量分析設備運行情況各臺設備的CPU/Memory/Disk/Flow/SerialNumber路由器情況路由器CPU/Memory/Flow路由器端口情況端口描述/端口類型/端口流量（SNMP）系統(tǒng)日志Netflow/SNMP結果對比系統(tǒng)其它功能路由器端口自動分類數據備份/數據恢復配置備份/回退/保存Radius/Tacacs+認證SNMPTrap/syslog/Email告警通知32種用戶管理權限自由組合字典功能（應用/AS/TOS）在線幫助城域網內DDOS攻擊特點和分類攻擊分類：城域網內發(fā)起的針對城域網外的DDoS攻擊城域網外發(fā)起的針對城域網用戶的DDoS攻擊防御策略出城域網異常流量防御策略入城域網異常流量防御策略出城域網異常流量防御策略訪問控制列表（ACL）帶寬限制（CAR）黑洞路由（BlackholeRouting）FlowSpecification入城域網異常流量防御策略過濾異常流量的同時保障正常業(yè)務及時對異常流量進行檢測和過濾異常流量檢測系統(tǒng)和異常流量過濾系統(tǒng)的配合流程由異常流量檢測系統(tǒng)實時的對全網流量進行監(jiān)測異常流量檢測系統(tǒng)一旦發(fā)現異常流量事件，準確的對該異常流量進行定位，用戶可選擇使用智能流量過濾系統(tǒng)進行過濾異常流量監(jiān)測系統(tǒng)觸發(fā)智能流量過濾系統(tǒng)的保護機制智能流量過濾系統(tǒng)根據預先設定保護機制，向目標路由器發(fā)送流量轉移路由策略，將該異常流量引至智能流量過濾系統(tǒng)之中智能流量過濾系統(tǒng)智能對引入的流量進行分析與識別，智能過濾所有攻擊或病毒流量過濾后的干凈流量從智能流量過濾系統(tǒng)出來，繼續(xù)對目標網絡進行正常訪問系統(tǒng)閥值序號名稱觸發(fā)閥值嚴重閥值1TCPSYN10Kpps20Kpps2TCPRST5Kpps10Kpps3IPPrivate5Kpps10Kpps4ICMP5Kpps10Kpps5TCPNULL1Kpps2Kpps6IPNULL1Kpps2Kpps7Fragement1Kpps2Kpps告警時延：2分鐘城域網入方向攻擊統(tǒng)計高級報警中級告警初級告警TCPSYN42616TCPRST141031IPPRIVATE16112FRAGMENT525ICMP323TCPNULL100IPNULL000*統(tǒng)計時間：7月4日－7月8日城域網出方向攻擊統(tǒng)計高級報警中級告警初級告警TCPSYN431428TCPRST3112IPPRIVATE000FRAGMENT434ICMP128TCPNULL001IPNULL004*統(tǒng)計時間：7月4日－7月8日城域網發(fā)起去其它運營商攻擊統(tǒng)計（一）高級報警中級告警初級告警廣東22320浙江12312江蘇8214湖南7210安徽1510上海433重慶1010福建205*統(tǒng)計時間：7月2日－7月8日城域網發(fā)起去其它運營商攻擊統(tǒng)計（二）高級報警中級告警初級告警四川300江西200黑龍江200新疆201山東102湖北011陜西011海南002*統(tǒng)計時間：7月2日－7月8日城域網發(fā)起去其它運營商攻擊統(tǒng)計（三）高級報警中級告警初級告警甘肅001云南001網通101聯通100*統(tǒng)計時間：7月2日－7月8日DDOS攻擊時長統(tǒng)計攻擊持續(xù)時間數量比率10分鐘以上15734%30分鐘以上6815%1小時以上378%2小時以上174%5小時以上82%12小時以上51%24小時以上30.6%全部攻擊468DDOS攻擊嚴重程度統(tǒng)計>2.5倍>5倍>10倍TCPSYN763311TCPRST211IPPRIVATE972FRAGMENT631ICMP443TCPNULL111IPNULL000DDOS攻擊統(tǒng)計分析DDOS攻擊類型TCPSYN攻擊占全部攻擊的50％左右嚴重攻擊的類型主要為TCPSYN和ICMP攻擊DDOS攻擊方向入城域網DDOS攻擊的數量和流量遠大于出城域網DDOS攻擊入城域網的DDOS攻擊對用戶和網絡的危害較大，最嚴重的攻擊流量峰值速率超過600Mbps出城域網的攻擊流量不大（峰值速率一般不超過50Mbps）DDOS攻擊持續(xù)時間DDOS攻擊的持續(xù)時間通常在1小時之內，很多攻擊的持續(xù)時間只有幾分鐘DDOS攻擊數量城域網中存在大量的DDOS攻擊每天的DDOS攻擊數量在50－100個城域網DDOS攻擊情況總結（1）網絡異常流量現狀網絡中存在大量的DDOS攻擊入網DDOS攻擊遠多于出網DDOS攻擊主要的DDOS攻擊類型為TCPSYN攻擊峰值大于100Mbps（約250Kpps）的大規(guī)模DDOS攻擊大量存在異常流量的危害通過攻擊和大量占用帶寬造成對攻擊目標的影響大量垃圾流量占用網絡帶寬，可能擁塞網絡一旦攻擊針對網絡設備，可能導致網絡癱瘓城域網DDOS攻擊情況總結（2）異常流量監(jiān)測通過ArborPeakflowSPIS能夠及時、準確地發(fā)現網絡中的各種DDOS攻擊能夠發(fā)現攻擊進入城域網的源頭，并對攻擊進行記錄和分析通過閥值可以調整對DDOS攻擊監(jiān)控的粒度攻擊防范的困難攻擊持續(xù)時間短（快速告警、快速響應）必須在過濾異常流量的情況下保護正常流量攻擊防范建議建立完善的異常流量告警、過濾系統(tǒng)建立完善的異常流量快速處理流程和管理制度針對入、出城域網異常流量采用不同處理方式異常流量系統(tǒng)的告警與網管系統(tǒng)的告警模塊相結合加強對攻擊源的處理和打擊，減少異常流量發(fā)生的可能集中管理分布部署架構架構與流程：1.路由器發(fā)送Flow到流量采集器（橙色線條）2.采集器收集流量信息3.采集器將流量信息匯聚發(fā)送到分析控制器（藍色線條）4.分析控制器進行分析管理操作流量分析與異常流量檢測系統(tǒng)操作在瀏覽器中輸入系統(tǒng)IP地址進行登錄異常流量告警在狀態(tài)>匯總信息中可查看當前正