一種提供網路管理者網路流量相關資訊的協定,網管人員可透過 NetFlow 更快速有 效的掌握目前所管轄網路的狀態。
2.2.1 NetFlow 運作機制
NetFlow 是由 Cisco 公司在 1996 年由 Darren Kerr 和 Barry Bruins 所發展的一 套網路流量監測技術,在大部分 Cisco 路由器上都已內建 NetFlow,同時 Juniper、
Ex-treme 等其他網路設備供應商也支援此技術,使其逐漸成為大家都能接受的標準。
在 TWCERT/CC 的“NetFlow 與網管之關係與應用"[26]一文中提到 NetFlow 本身主 要是一套網路流量統計協定,其主要的原理是根據網路封包傳輸時,連續相鄰的封包通常 address)、來源埠號(source port number)、目的 IP 位址(destination IP address)、
目的埠號(destination port number)、路由器輸入介面(router input interface)、服 務種類(type of service)、以及協定種類(protocol type),當路由器接受到新的封包時,
路由器便會檢視這七個欄位來判斷這個封包是否屬於任何已記錄的 Flow,有的話則將新
(3) 流量持續傳送,每 30 分鐘會自動終止。
雖然目前大部分的網路硬體供應商都有支援 NetFlow 的技術,但是各個廠商還是實 作了自己版本的 NetFlow,其中 NetFlow Version 5 是最常見的 Netflow 資料格式,它 包含了以下幾個欄位,如表 1: Destination TCP/UDP Port 目的主機所使用的埠號 Next Hop Address 下一個端點的位址 Source AS Number 來源主機所屬的 AS 編號 Destination AS Number 目的主機所屬的 AS 編號
Source Prefix Mask 來源主機所屬網域的子網路遮罩 Destination Prefix Mask 目的主機所屬網域的子網路遮罩
Protocol 使用之通訊協定
透過適當的分析 NetFlow 資訊,更可以協助管理者在蠕蟲爆發或不正常網路行為的初期 快速的偵測出網路的問題。
2.2.2 NetFlow 在網路安全上相關的應用
使用 NetFlow 來分析網路狀況其實是一種「異常偵測」(anomaly detection)的應用,
藉由分析網路狀態找出與正常情況不同的異常狀況,而不像特徵式入侵偵測系統那樣,需 利用網路封包的負載程度來偵測攻擊行為。
在 TWCERT/CC “NetFlow 與網管之關係與應用"一文中也有提到[26]網路攻擊行為 存在著某些可供辨識的特徵,例如針對某個特定埠或利用某些特定網路的 IP 位址等等特 徵;我們可以透過這些特徵來與所獲得的 NetFlow 資料進行比對,進而找出可能的異常行 為,透過分析 NetFlow 資料中目的主機所使用的埠號(Port)欄位,例如 SQL Slammer 就 是利用 1434 port 進行感染,利用目的主機所使用埠號這個欄位等於某個特定埠號,來過 濾 NetFlow 資料找出相對應的攻擊,另外我們也可以利用不合邏輯的來源或目的 IP 位址 來找出異常的 IP,再利用 NetFlow 資料中資訊流流入介面編號(Input IFindex)欄位的 資訊,找出連接這個介面的上游路由器,再請網路管理者協助調查或處理。
某些異常行為可能會連到某個或某些特定位址,例如我們對造成嚴重網路擁塞的 CodeRed 蠕蟲對其 NetFlow 資訊加以分析便可發現此蠕蟲的攻擊行為有一個特性,每筆 Flow 的 destination TCP/UDP port 欄位值會等於 80,Packet Count 欄位值等於 3,Byte Count 欄位值等位 144 bytes,網路管理者便可以撰寫程式進一步的分析所蒐集的 NetFlow 資料,找出具此特徵的 Flow,於是便可找出網路內有可能感染 CodeRed 蠕蟲的主機,對 SQL Slammer 的主機上發現大量對外 1434 port 的連結需求。同樣的原理,如果所管轄網 路中的使用者從網路上下載阻斷服務攻擊之工具程式企圖對外發動攻擊時,或是使用者利 用 Nmap 之類的掃瞄工具掃瞄特定網址,以找出目標主機所可能存在弱點或是漏洞時,我 們都可以從 NetFlow 資料中發現從網域中某個特定位址送出的大量 session。除了偵測網 路的攻擊外,我們也可以透過分析 session 的方式找出網路濫用的行為,並進行適當處置 以降低其所造成的傷害。