识别网络通信异常- 利用Netflow进行网络安全管理

来源：《思科技术透视》2005年第六期作者：出处：巧巧读书 2005-08-22 进入讨论组

1 电信运营商互联网安全面临的挑战

随着宽带互联网在中国的迅速发展，中国各大电信运营商的网络规模都在不断扩张，接入的企业用户和个人用户也在成爆炸性增长。而且越来越多的宽带接入用户已经把互联网作为进行企业运作，电子商务和通信沟通的主要平台。互联网上传送的已不再只是网页浏览，电子邮件等单纯的个人通信，而且也包括了银行在线交易，商务视频/语音会议，企业ERP，电子订单等等任务关键型的通信流量。保障这些关键通信业务的安全和服务不中断是运营商提升服务质量，赢得高端用户必不可少的要求。

但在当前环境下，与互联网规模迅速发展相伴随的还有网络安全攻击的频繁涌现。黑客对网络攻击的目标已经由几年前的攻击个别服务器、企业网站扩展到了对整个互联网基础设施的攻击，并希望由此造成整个互联网及其承载的关键业务的整体瘫痪。其中危害较大的攻击方式主要有两种：DDoS攻击和蠕虫病毒。对这两种可能对互联网造成大范围网络瘫痪和巨大经济损失的网络安全事故，运营商需要采用一切必要技术和管理手段进行防范。

DDoS攻击和蠕虫病毒对运营商网络的攻击原理虽然不同，但他们也有内在的共同特点。那就是这两种网络安全攻击都会表现为网络流量的突然急剧增大，迅速耗尽运营商网络的所有带宽资源，造成普通用户的正常通信阻断，进而瘫痪用户业务甚至整个互联网。如何迅速发现网络中出现的通信流量异常，并及时确定异常通信的准确技术参数（如攻击的来源，异常通信的具体流向和流量信息，占用的网络端口，持续的时间等）是管理员能否在短时间内对网络安全攻击做出正确响应，减少其对运营商网络和用户业务影响的一个关键因素。

2 Netflow技术简介

作为业界领先的互联网解决方案提供商，思科公司不但提供了性能卓越的网络设备，还同步为网络设备配套研发了一系列内嵌式智能网管代理。其中就包括主要用于网络流量/流向分析和网络异常通信检测的Netflow技术。下面对Netflow技术做一个简单介绍。

Netflow技术的起源

Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的，并于同年5月注册为美国专利，专利号为6,243,667。Netflow技术首先被用于网络设备对数据交换进行加速，并可同步实现对高速转发的IP数据流(Flow)进行测量和统计。经过多年的技术演进，Netflow原来用于数据交换加速的功能已经逐步由网络设备中的专用ASIC芯片实现，而对流经网络设备的IP数据流进行特征分析和测量的功能也已更加成熟，成为了当今互联网领域公认的最主要的IP/MPLS流量分析和计量行业标准，同时也被广泛用于网络安全管理。利用Netflow技术能对IP/MPLS网络的通信流量进行详细的行为模式分析和计量，并提供网络运行的准确统计数据，这些功能都是运营商在进行网络安全管理时实现异常通信流量检测和参数定性分析所必需的。

IP网络中的数据流（Flow）信息

为对运营商网络中的异常流量进行检测，首先需要对网络中不同类型业务的正常通信进行基线分析，包括测量和统计不同业务日常的流量和流向数据并计算基线的合理范围。

为完成上述对不同类型业务的测量工作，首先需要对网络中传输的各种类型数据包进行区分。由于IP网络的非面向连接特性，网络中不同类型业务的通信可能是任意一台终端设备向另一台终端设备发送的一组IP数据包，这组数据包实际上就构成了运营商网络中某种业务的一个数据流（Flow）。如果管理系统能对全网传送的所有Flow进行区分，准确记录每个Flow的传送时间、占用的网络端口、传送源/目的地址和数据流的大小，就可以对运营商全网所有通信的流量和流向进行分析和统计，进而计算出正常通信的基线以及发现突发的异常通信流量。

通过分析网络中不同Flow间的差别，可以发现判断任何两个IP数据包是否属于同一个Flow实际上可以通过分析IP数据包的下属7个属性来实现，即数据包的：

源IP地址
目标IP地址
源通信端口号
目标通信端口号
第三层协议类型
TOS字节（DSCP）
网络设备输入（或输出）的逻辑网络端口（ifIndex）

思科公司的Netflow技术就是利用分析IP数据包的上述7个属性，可以快速区分网络中传送的各种不同类型业务的Flow。对区分出的每个数据流Netflow可以进行单独地跟踪和准确计量，记录其传送方向和目的地等流向特性，统计其起始和结束时间，服务类型，包含的数据包数量和字节数量等流量信息。对采集到的数据流流量和流向信息，Netflow可以定期输出原始记录，也可以对原始记录进行自动汇聚后输出统计结果。静态页面：http://www.qqread.com/net-manage/u111300208.html