網路封包在網際網路(Internet)上傳遞時,所使用的傳輸協定都是仰賴網際網路協定 (IP, Internet Protocol)來進行傳遞,而在網際網路上依據網際網路協定擔任傳遞轉送封包 工作的設備就是路由器(Router),所有網路封包在網際網路上的傳遞都必須依賴沿途所 經過的路由器層層傳送方能到達目的地,因此路由器是封包在網際網路上的必經途徑,
也是適合記錄網際網路封包行為的網路節點。
Cisco 公司 Darren Kerr 和 Barry Bruins 在 1996 年發展一套名為 NetFlow 的網路流 量資訊紀錄技術,該技術依據同一連線路徑的網路封包會連續傳輸的特性,在路由器的 快取中存著連線的資訊,當路由器的 NetFlow 功能打開後,路由器就會擷取相關特定的 資訊彙整到 NetFlow 資料紀錄中,直到滿足 NetFlow 定義的 Flow 紀錄結束條件就會將 該筆 Flow 紀錄以 UDP datagramn 的方式送到管理者所指定的 NetFlow 收集設備之中儲 存起來供後續需要分析使用。
目前 NetFlow 開始發展至今已經擁有許多的版本,而目前最主要的版本有 V5、V7、
V9 三種,且各網路設備製造廠商亦有實作自家類似 NetFlow 的網路流量資訊記錄技術,
但目前受到最廣泛支援的當屬 NetFlow Version 5,本研究即是使用目前最普遍應用的 NetFlow Version 5 相關資料進行偵測模組的建立,其相關屬性與說明如表 4-1(Cisco, 2007)[5]所示。
表 4-1. NetFlow V5 資料屬性
資料屬性 說明
Flow 來源 IP 位址 Source IP Address
Flow 目標 IP 位址 Destination IP Address
轉送封包至下一個路由器的 IP 位置 Next-Hop Router IP Address
Flow 流入的路由器網路介面 SNMP 索引 Input Physical Interface Index 號
Flow 流出的路由器網路介面 SNMP 索引 Output Physical Interface Index 號
該 Flow 累計傳送的封包數量 Packet Count for this Flow
該 Flow 累計傳輸的 Byte 數量 Byte Count for this Flow
Flow 起始時間戳記 Start Of Flow Timestamp
Flow 結束時間戳記 End Of Flow Timestamp
Flow 來源端 L4 通訊埠 Source TCP/UDP Application Port
Flow 目的端 L4 通訊埠 Destination TCP/UDP Application Port
TCP 連線旗標(SYN, ACK, RST, FIN 等) TCP Flags
封包格式(TCP 或 UCP) IP Protocol (for example: TCP=6; UDP=17)
封包服務類型,通常做為流量控制用途 Type of Service(Tos) byte
來源端 AS 號碼 Source AS Number
目的端 AS 號碼 Destination AS Number
來源端 IP 的子網路遮罩 Source Subnet Mask
目標端 IP 的子網路遮罩 Destination Subnet Mask
在 NetFlow 的資訊定義中 Flow 紀錄是單向的流量資料,以 Source IP address、
Destination IP address、Source port number、Destination port number、IP protocol type、ToS byte、Input Physical Interface Index (ifIndex)等七項屬性來定義出獨一無二不重複的紀錄 項目;NetFlow 根據這七項屬性將單向、相同來源和目地且連續的一系列封包定義為一 個 Flow 紀錄,而路由器依此定義將所有流經的封包建立對應的 Flow 紀錄,並將符合同 一筆 Flow 紀錄的封包予以累計封包數量及封包 Byte 數等相關資訊。
此外,由於路由器儲存 Flow 記錄的空間有限,故在 NetFlow 的定義中,一筆 Flow 紀錄的開始條件為封包進入路由器且 Flow Table 中不存在符合該封包的紀錄;而 Flow 紀錄的終止條件則為以下任一條件發生時,即會將 Flow 匯出至其他網路伺服器儲存,
並將已匯出之 Flow 紀錄從 Flow Table 中移除:
z 該筆 Flow 紀錄超過指定時間沒有任何封包符合該 Flow
z 該筆 Flow 紀錄雖有封包持續進入,但已超過 Flow 記錄保留之最長限制時間
z 路由器儲存 Flow 紀錄的 Flow Table 已滿,便將 Flow Table 所有的紀錄匯出
z 依據 TCP 通訊協定的特性,當 Flow 的通訊協定為 TCP 時,收到含有 FIN 或 RST 旗標的封包,TCP 連線所屬的 Flow 結束匯出
本研究收集國立高雄大學校園網路骨幹核心路由器 NetFlow 流量資料供本研究分析 使用,NetFlow 流量資料收集架構如圖 4-1,高雄大學校園網路中底下連線接取單位為 各行政單位、教學單位、研究單位及學生宿舍等數十單位;依據高雄大學校園網路之架 構,所有高雄大學校園網路下轄單位對高雄大學校園網路外之連線,除少部分單位元擁 有額外擁有其他 ISP 接取線路外,大部分網路流量都會經過高雄大學校園網路骨幹核心 路由器,因此收集高雄大學校園網路骨幹核心路由器之 NetFlow 資料便可掌握高雄大學 校園網路內所有流經該核心路由器的連線資料,其中這些資料包含了高雄大學校園網路 內電腦與外界的正常流量資料及來自外界網路威脅流量資料。
圖 4-1. NetFlow 資料收集架構圖